N° 1948
——
ASSEMBLÉE NATIONALE
CONSTITUTION DU 4 OCTOBRE 1958
TREIZIÈME LÉGISLATURE
Enregistré à la Présidence de l’Assemblée nationale le 30 septembre 2009.
RAPPORT
FAIT
AU NOM DE LA COMMISSION DES LOIS CONSTITUTIONNELLES, DE LA LÉGISLATION ET DE L’ADMINISTRATION GÉNÉRALE DE LA RÉPUBLIQUE SUR LA PROPOSITION DE RÉSOLUTION (N° 1448) DE M. GUY GEOFFROY, RAPPORTEUR DE LA COMMISSION CHARGÉE DES AFFAIRES EUROPÉENNES, sur la proposition de décision-cadre du Conseil relative à l’utilisation des données des dossiers passagers (Passager Name record, PNR) à des fins répressives (COM [2007] 654 final/N° E 3697),
PAR M. Guy GEOFFROY,
Député.
——
Voir le numéro : Assemblée nationale : 1447
INTRODUCTION 14
I. LA COLLECTE ET LE TRAITEMENT DES DONNÉES PNR : UN OUTIL NÉCESSAIRE 7
II. UNE DÉCISION-CADRE QUI DOIT MIEUX RESPECTER LES DROITS FONDAMENTAUX 8
A. ASSURER LE RESPECT DU DROIT À LA VIE PRIVÉE ET DU DROIT À LA PROTECTION DES DONNÉES 8
B. OPTER POUR UNE DURÉE RAISONNABLE DE CONSERVATION DES DONNÉES 9
C. VEILLER À UNE PROTECTION SPÉCIFIQUE ET COHÉRENTE DES DONNÉES SENSIBLES 10
D. OBTENIR UN ENCADREMENT PLUS STRICT DES TRANSFERTS DE DONNÉES VERS UN ÉTAT TIERS 11
E. LA QUESTION DES FUTURES DEMANDES D’ACCÈS AUX DONNÉES PNR À TITRE DE RÉCIPROCITÉ 12
EXAMEN EN COMMISSION 14
PROPOSITION DE RÉSOLUTION ADOPTÉE PAR LA COMMISSION SUR LA PROPOSITION DE DÉCISION-CADRE DU CONSEIL RELATIVE À L’UTILISATION DES DONNÉES DES DOSSIERS PASSAGERS (PASSENGER NAME RECORD, PNR) À DES FINS RÉPRESSIVES 17
Mesdames, Messieurs,
La commission des Lois est saisie, en application de l’article 88-4 de la Constitution, d’une proposition de résolution que votre rapporteur a eu l’honneur de déposer au nom de la commission chargée des affaires européennes, le 11 février 2009, sur la proposition de décision cadre du Conseil relative à l’utilisation des données des dossiers passagers (Passenger name record, PNR) à des fins répressives (COM [2007] 654 final/n°E 3697).
La proposition de résolution ayant été renvoyée à notre Commission avant l’entrée en vigueur du nouveau Règlement de l’Assemblée nationale, le 25 juin 2009, les dispositions du nouvel article 151-6 (1) ne s’appliquent pas à elle. En conséquence, la commission des Lois doit examiner et adopter la proposition de résolution afin qu’elle puisse devenir définitive.
La proposition de décision cadre du Conseil relative à l’utilisation des données des dossiers passagers a été adoptée par la Commission européenne le 12 novembre 2007. Elle a pour objet d’encadrer la collecte et le traitement des données PNR par les autorités publiques nationales à des fins de lutte contre le terrorisme et les formes graves de criminalité. Rappelons que les données PNR sont les données collectées par les transporteurs internationaux au stade de la réservation commerciale. Elles se distinguent donc notamment des données relatives aux personnes transportées, dites données apis (Advance passenger information system), qui sont les données collectées par les entreprises de transport international au moment de l’enregistrement et dont elles disposent au moment de l’embarquement.
Concrètement, la proposition de décision-cadre institue une obligation de transmission, avant le décollage des vols en provenance ou à destination des pays tiers, des données PNR par les compagnies aériennes vers des « unités de renseignements passagers », autorités publiques qui seraient créées dans chaque État membre. Ces unités pourraient alors effectuer en temps réel des analyses de risque et transmettraient aux services opérationnels (notamment de renseignement) les résultats de ces analyses. La collecte et le traitement des données seraient cantonnés à la lutte contre le terrorisme et certaines formes graves de criminalité.
Votre rapporteur a eu l’occasion, dans son rapport d’information (2) présenté à la commission chargée des Affaires européennes dans le cadre de l’examen de la proposition du document E 3697, de présenter les grands enjeux des régimes de collecte et de traitement des données PNR. Dans ces conditions, le présent rapport se concentrera sur la présentation de la proposition de résolution adoptée par la commission chargée des affaires européennes. Il s’attachera notamment à faire le point sur les principaux points soulevés par cette proposition de résolution.
La proposition de résolution adoptée par la commission chargée des affaires européennes tenait compte des importantes évolutions du texte intervenues sous présidence française au cours du deuxième trimestre 2008. Depuis l’adoption de la proposition de résolution, les négociations n’ont pas connu d’avancées sous présidence tchèque et présidence suédoise. En revanche, l’Espagne, qui occupera la présidence de l’Union européenne au premier trimestre 2010 a fait part de son grand intérêt pour ce texte et de son souhait de reprendre rapidement ces travaux sous sa présidence. Dans ces conditions, il semble important que l’Assemblée nationale adopte définitivement une résolution avant la reprise des négociations sur les principaux points restant en discussion. (3)
Par ailleurs, votre rapporteur souligne que la proposition de résolution qu’il a déposée au nom de la commission des affaires européennes a trouvé un écho favorable auprès de la Commission européenne. En effet, dans un courrier adressé à votre rapporteur le 22 juillet 2009, le vice-président de la Commission, M. Jacques Barrot, dit se réjouir « des conclusions du rapport qui indiquent, d’une part, que les données PNR constituent un outil nécessaire à la lutte contre le terrorisme et les formes graves de criminalité et, d’autre part, que l’institution d’un régime de transfert et de collecte harmonisé au niveau européen permettrait de renforcer l’efficacité des mesures prises au plan national par les États membres ». Il indique en outre avoir d’ores et déjà « été en mesure de prendre en compte plusieurs des commentaires et recommandations [de la proposition de résolution] tels que, par exemple, la réduction de la durée de conservation, le renforcement de l’encadrement s’agissant des transferts de données vers des États tiers, les protections spécifiques pour les données sensibles et la clarification du régime de protection des données ». Il conclut en indiquant que la Commission s’efforcera de tenir compte des autres recommandations de la proposition de résolution au cours des discussions qui vont suivre.
I. LA COLLECTE ET LE TRAITEMENT DES DONNÉES PNR : UN OUTIL NÉCESSAIRE
Le 1. de la proposition de résolution dispose que l’Assemblée « juge que les données PNR constituent un outil nécessaire à la lutte contre le terrorisme et les formes graves de criminalité et que l’institution d’un régime de transfert et de collecte harmonisé au niveau européen permettrait de renforcer l’efficacité des mesures prises au plan national par les États membres ».
En effet, l’utilisation par des réseaux terroristes mondialisés des moyens de transports internationaux, et d’abord du transport aérien, est une donnée que les services de lutte contre le terrorisme doivent prendre en compte. Ceux-ci ont en effet intérêt à avoir des informations précises sur les personnes susceptibles d’appartenir à une organisation terroriste. Tout d’abord, un renseignement concernant un déplacement d’une personne signalée permet de prendre les mesures préventives appropriées (surveillance renforcée du vol, accueil par les services de police à la descente de l’avion, filature discrète sur le territoire du pays de destination…). En outre, le suivi des déplacements internationaux d’une personne permet d’obtenir des renseignements très intéressants sur les pays qu’elle fréquente, voire d’attirer l’attention des services compétents sur des personnes dont les déplacements peuvent lui sembler suspects (séjour prolongé dans un pays connu pour abriter des réseaux terroristes…).
À cet égard, l’utilisation des données PNR est très utile pour les services de renseignement. Certes, elles n’ont pas le caractère certain des données APIS qui sont collectées au moment de l’embarquement puisque les données PNR sont collectées en amont et sur une base déclarative. À l’inverse, leur transmission avant même l’embarquement donne aux services le temps nécessaire pour réagir en cas de transmission d’un renseignement suspect.
Toutes ces raisons expliquent pourquoi la France a adopté un cadre juridique autorisant la mise en place d’un dispositif de collecte des données PNR, par l’article 7 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers. Aucun traitement enregistrant ces données n’a cependant encore été créé, dans l’attente de la création d’un régime commun au niveau de l’Union européenne. Il apparaît en effet que la mise en œuvre de régimes de collecte nationaux sans concertation serait de peu d’utilité. L’application dans de bonnes conditions de l’article 7 de la loi du 23 janvier 2006 suppose donc l’adoption d’un instrument de droit européen, justifiant donc la position de la commission chargée des affaires européennes.
En outre, votre rapporteur rappelle (4) que l’Union européenne a conclu des accords avec les États Unis, le Canada et l’Australie afin d’autoriser les compagnies européennes à transférer aux gouvernements de ces États les données PNR en leur possession. Il semble donc normal que des données transmises par ces compagnies aux gouvernements nord-américains et australien puissent également l’être aux services européens !
II. UNE DÉCISION-CADRE QUI DOIT MIEUX RESPECTER LES DROITS FONDAMENTAUX
Après avoir rappelé la nécessité de la mise en œuvre d’un régime commun de collecte des données PNR, la proposition de résolution de la commission des Affaires européennes attire l’attention sur les questions non encore résolues qui doivent être tranchées d’ici la fin des négociations sur la proposition de décision-cadre.
En premier lieu, la proposition de résolution juge indispensable que « le plein respect des droits fondamentaux et, notamment, du droit à la vie privée et du droit à la protection des données soit assuré à chaque étape de la collecte et du traitement des données ».
Compte tenu de son objet, la proposition de décision-cadre a un impact potentiel important sur le respect des droits et libertés. En effet, l’objectif même d’un dispositif de collecte et de traitement des données PNR est de procéder à des évaluations de risque des personnes sur la base de données personnelles qui, en soi, n’établissent aucunement qu’une personne a été ou pourrait être impliqué dans une entreprise terroriste. Bien évidemment, les autorités chargées du ciblage le feraient en fonction de critères établis par les services opérationnels. Par ailleurs, seuls les services opérationnels seraient aptes à prendre une décision opérationnelle à partir d’une analyse plus approfondie. Ainsi, aucune décision, tel qu’un refoulement à la frontière par exemple, ne saurait être prise de façon automatique en raison d’un ciblage.
Néanmoins, la mise en œuvre de ce dispositif implique l’élaboration d’indicateurs de risques et de modèles de déplacement et de comportement, qui supposent la conservation pendant une certaine durée de données personnelles.
Pour toutes ces raisons, la proportionnalité de la mesure aux fins poursuivies est un élément essentiel de l’acceptabilité du dispositif. Et surtout, compte tenu de l’utilisation de données personnelles, la mise en œuvre de ce dispositif exige qu’un mécanisme de protection des données très protecteur soit mis en place.
Or, sur l’ensemble de ces questions, la proposition initiale de la commission était très allusive, justifiant les fortes critiques développées par le contrôleur européen de la protection des données, par le groupe de travail des autorités européennes de protection des données (G29) ou par l’Agence européenne des droits fondamentaux, et exposées dans le rapport de votre rapporteur au nom de la commission chargée des affaires européennes.
Les travaux, menés notamment sous présidence française, ont permis de clarifier le régime de protection des données qui sera applicable. Dans le rapport remis au nom de la commission des Affaires européennes, votre rapporteur jugeait donc indispensable la mise en place de régimes de protections des données adéquats, à chaque étape de la collecte et du traitement des données. (transmission entre compagnies aériennes et unités de renseignements passagers, transmission entre États membres…).
Effectivement, la dernière version en date de la proposition de décision-cadre, en date du 29 juillet 2009, répond de façon satisfaisante aux questions qui étaient posées. Il est notamment expressément indiqué que les exigences générales en matière de protection des données s’appliquent également aux traitements effectués par les unités de renseignements passagers.
Alors que les négociations semblent mieux prendre en compte les impératifs de protection des données, il est utile que la résolution de l’Assemblée nationale insiste sur cette dimension.
Afin d’assurer le respect du principe de proportionnalité d’un dispositif de collecte et de conservation des données PNR, la question de la durée de conservation de ces données est fondamentale. En effet, cette durée doit être suffisamment longue pour permettre aux cellules de renseignements passagers d’effectuer des analyses de risque fondées sur des éléments tangibles. À l’inverse, conserver ces données personnelles au-delà du temps strictement nécessaire pour la finalité de la lutte contre le terrorisme et certaines formes de criminalité est incontestablement une entrave à la vie privée.
La proposition initiale de la Commission prévoyait une durée de conservation excessive de 13 ans, même si cette durée comprenait une conservation de 8 ans dans une base de données dite inactive. Cette durée excessive a suscité une opposition unanime et justifiée des autorités de contrôle et des organismes de défense des droits de l’homme. En outre, il ne semble pas que les services opérationnels soient demandeurs d’une durée de conservation aussi longue. En effet, les réseaux terroristes sont des structures mouvantes et adaptables dont les membres adoptent souvent de nouveaux comportements.
Dans ces conditions, la proposition de résolution de la commission chargée des affaires européennes se prononce à juste raison pour que « la durée de conservation soit ramenée à un délai raisonnable compris entre trois et six années ».
Une durée de conservation minimale de trois ans semble en effet nécessaire pour rendre le dispositif efficace. Un consensus semble d’ailleurs se dégager autour d’une durée de conservation de trois ans dans la base « active ». Au-delà de cette durée, les données PNR pourraient être conservées pour une durée supplémentaire qui reste à fixer dans une base « inactive » : elles ne seraient alors consultables qu’en réponse à une menace ou un risque spécifique ou réel ou dans le cadre d’une enquête et de poursuites spécifiques ou à des fins d’analyse.
Comme l’indique la dernière version de la proposition de décision-cadre, en date du 29 juin 2009, « il est manifeste qu’aucun consensus n’a encore été dégagé que la longueur exacte de la période de conservation supplémentaire ». Cette durée pourrait en effet atteindre sept ans au maximum, soit une durée totale de conservation qui pourrait aller jusqu’à dix ans.
Votre rapporteur, conformément à la proposition de résolution, souhaiterait que cette période supplémentaire de conservation des données PNR ne puisse dépasser trois ans, soit une durée totale de conservation maximale de six ans.
La proposition de décision-cadre n’a jamais prévu expressément la collecte de données sensibles, c'est-à-dire de « données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que [les données] relatives à la santé et à la vie sexuelle ».
Il est d’ailleurs extrêmement rare que de telles données puissent être collectées par des compagnies aériennes mais cela n’est pas impossible (demande de régime alimentaire particulier, indication sur le handicap ou l’état de santé…). De telles données seraient, selon la proposition de décision-cadre, susceptible de faire partie des données PNR au titre de la rubrique 12) Remarques générales.
Dans la résolution qu’il a adoptée, le Sénat a estimé que cette rubrique devrait être purement et simplement exclue de la liste des données PNR transmises (5) afin d’éviter toute utilisation de données sensibles dans ce cadre.
La proposition de résolution de la commission chargée des affaires européennes suit une démarche différente puisqu’elle estime que la question des données sensibles doit faire « l’objet de protections spécifiques et cohérentes, quelle que soit l’option qui sera retenue entre l’exclusion de toute utilisation ou la possible utilisation à des fins d’enquêtes ou de poursuites en cours ».
Certes, l’option de l’exclusion des données sensibles aurait la préférence de votre rapporteur. Il s’agit d’ailleurs de la solution retenue par la loi du 23 janvier 2006. Néanmoins, il est clair que certaines délégations, notamment la Grande Bretagne qui dispose déjà d’un dispositif de collecte des données PNR, ne renonceront pas à la possibilité de conserver des données dont disposent d’ores et déjà les compagnies aériennes. La question importante est alors de s’assurer que la décision-cadre offre, dans une telle hypothèse, un régime juridique suffisamment protecteur.
En effet, dans tous les cas, il devra être exclu d’effectuer un profilage sur la base de données sensibles. L’utilisation de ces données ne pourrait être autorisée que dans le cadre d’une enquête en cours ou de poursuites déjà engagées afin de prévenir ou de détecter une infraction criminelle grave. Par conséquent, la consultation de ces données serait très encadrée, limitée à certains membres du personnel de l’unité de renseignements passagers. En outre, cette consultation se ferait manuellement, empêchant donc la mise en œuvre de traitements automatisés fondés sur l’utilisation de données sensibles.
Enfin, le texte définitif de la décision-cadre devra préciser que les autorités opérationnelles compétentes ne devront prendre aucune décision qui produise des effets juridiques défavorables pour une personne ou qui l’affecte de manière significative au seul motif tiré de son appartenance à une des catégories visées par la définition des données sensibles.
S’il est légitime que l’Union européenne mette en place un dispositif de collecte et de conservation des données PNR afin de contribuer à sa sécurité, l’existence de ce système ne doit pas se traduire par un transfert incontrôlé de ces données vers des États tiers.
Or, comme votre rapporteur l’expliquait dans son rapport au nom de la commission chargée des affaires européennes « la question des échanges de données avec les pays tiers n’a malheureusement pas pu être débattue sous présidence française par manque de temps » (6). Dans ces conditions, la réserve formulée sur ce point par la proposition de résolution est parfaitement justifiée. Il reste en effet indispensable « qu’un encadrement plus strict soit obtenu s’agissant des transferts de données vers des États tiers, de sorte qu’un État membre ne puisse être source de fuite de masses de données brutes vers un État tiers » (7).
La rédaction initiale de la proposition de décision-cadre était tout à fait insuffisante puisqu’il était uniquement prévu qu’en cas de transfert de données vers un État tiers, celui-ci devait poursuivre des finalités identiques et qu’il ne pouvait transmettre ces données à un autre État tiers sans l’accord explicite de l’État qui lui avait transmis les données.
Des progrès ont d’ores et déjà été réalisés dans la dernière version de la proposition de décision-cadre : de nouvelles garanties ayant été précisées (nécessité du transfert de données dans la prévention du terrorisme ou d’un acte criminel grave ou d’une enquête, niveau adéquat de protection des données dans l’État tiers…). Néanmoins, si l’article 8 dispose que de tels transferts ne devraient intervenir qu’au « cas par cas », cette formulation est insuffisamment précise pour assurer l’exclusion de tout transfert de masse de données. Un tel transfert de masse est en effet envisageable au cas par cas.
Votre rapporteur estime que le transfert d’une donnée analysée ou d’une donnée PNR brute isolée peut se justifier lorsque cette donnée spécifique est nécessaire à un État tiers. En revanche, un transfert de masse de données ne saurait être accepté, y compris au cas par cas. La proposition de résolution de la commission chargée des affaires européennes insiste donc utilement sur cette préoccupation.
Enfin, la proposition de résolution juge nécessaire « que les problèmes soulevés par les futures demandes d’accès aux données PNR à titre de réciprocité soient étudiés ».
D’une façon générale, cette question devra être abordée dans le cadre d’accords bilatéraux, sur le modèle de ceux que l’Union européenne a déjà conclu avec les États-Unis, le Canada ou l’Australie. D’ailleurs, lorsque l’Union disposera d’un régime de collecte et de conservation des données PNR propre, sa position dans des négociations ou renégociations de tels accords sera beaucoup plus forte.
Cependant, une question se pose s’agissant d’États qui n’auront pas conclu de tels accords mais dont les compagnies aériennes desservent l’Union européenne et seront donc contraints de lui transférer les données PNR de leurs clients. Votre rapporteur estime qu’il est assez probable que ces pays demanderont à pouvoir avoir accès aux données PNR des vols à partie de l’Union européenne vers leur territoire, en application du principe de réciprocité.
Si un tel transfert de données ne peut être empêché, il sera alors nécessaire de s’assurer de ses modalités afin d’éviter tout transfert de données vers un pays ne disposant pas d’un régime de protection des données personnelles satisfaisant. Les débats sur cette question devront donc être poursuivis afin que la proposition de décision-cadre fixe le régime applicable en matière de protection des données dans une telle hypothèse.
La Commission a examiné la proposition de résolution au cours de sa séance du mercredi 30 septembre 2009.
Après l’exposé du rapporteur, une discussion générale a eu lieu.
Mme Delphine Batho. À titre liminaire, je tiens tout d’abord à saluer l’important travail effectué par notre rapporteur qui était également rapporteur de la proposition de résolution devant la commission des Affaires européennes. Je me suis moi-même rendue à Bruxelles dans le cadre de la mission d’information de notre Commission sur les fichiers de police avec notre collègue Jacques Alain Bénisti pour rencontrer le Contrôleur européen de la protection des données. Je me félicite du probable changement de cadre juridique des décisions communautaires dans le domaine de la protection des données personnelles qui devrait basculer dans le champ de la codécision si le traité de Lisbonne entre en vigueur.
S’agissant du système dit « PNR », je voudrais rappeler à nos collègues le contexte particulier qui a présidé à son instauration : c’est sous la pression des États-Unis aux lendemains du 11 septembre 2001 que l’Union européenne a été conduite à accepter ce nouveau système, au mépris parfois de la garantie de droits et libertés fondamentaux, les condamnations de la Cour européenne de justice, qui a annulé plusieurs décisions prises en la matière par le Conseil et la Commission, en attestent. Or l’efficacité du système PNR n’est pas prouvée ! En matière de lutte contre le terrorisme, on en revient toujours à la confrontation de deux modèles : le modèle français qui privilégie la prévention en amont fondée sur un renseignement efficace et un modèle américain basé sur la gestion de fichiers informatiques permettant un profilage. Un système de fichiers peut être utile s’il est conçu comme une base de données permettant des recoupements et des vérifications, mais pas le profilage dont on connaît les limites ! Sur cette question, nous nous engageons dans un véritable bras de fer avec le Royaume-Uni qui est totalement aligné sur la position américaine.
Pour en venir à la proposition de résolution qui nous est aujourd’hui soumise, j’estime qu’elle va dans le bon sens mais qu’elle aurait pu être plus ferme et ambitieuse, à l’image de la position prise par le Parlement européen à l’automne dernier : le rapporteur nous propose d’en rester au taquet de ce qui peut être accepté par les 27 là où nous aurions préféré nous positionner en avant-garde de la protection des données personnelles par un texte plus ambitieux.
Pour entrer dans le détail, je voudrais faire quatre remarques : en premier lieu, votre texte aurait pu rappeler les nécessités de respecter le principe de proportionnalité ; il aurait en outre dû s’en tenir à une durée maximale de conservation des données de trois ans, à l’image de ce que pratique Interpol, voire une durée moindre ; en tout état de cause, six ans nous paraissent beaucoup trop long. Je partage pour ma part l’avis émis par le Sénat s’agissant de la protection des données sensibles : je pense qu’il faut clairement interdire le profilage à partir de ces données, notamment s’agissant des régimes alimentaires dont on mesure bien les implications. La résolution n’est pas assez précise sur ce point. Enfin, je souhaite attirer l’attention sur la question du transfert des données à des États tiers : les sécurités aujourd’hui prévues en la matière sont totalement insuffisantes, mais la résolution n’est pas assez ferme sur ce point.
M. le rapporteur. Je vous remercie de votre propos qui complète très utilement ma démonstration.
S’agissant de l’esprit et de la puissance de la résolution, je me suis peut-être mal exprimé : il ne s’agit pas de dire que l’on connaît le point d’arrivée probable de la négociation et que l’on s’adapte à ce résultat dans notre propre position, mais seulement de tenir compte des réalités. Il faut se rappeler que la proposition dont nous partions était presque aussi mauvaise que l’accord conclu avec les États-Unis. Or, je constate que depuis, nous avons déjà beaucoup avancé et que les remarques que nous avons eu l’occasion de formuler à plusieurs reprises en commission chargée des affaires européennes, ont presque toujours été prises en compte dans les négociations. Cette démarche des « petits pas » ne me semble pas une mauvaise méthode.
Faudrait-il par exemple que la résolution se prononce pour une durée de conservation des données limitée à trois ans alors que nous savons bien que cela ne sera jamais accepté ? Je ne le pense pas, ce qui ne veut pas dire d’ailleurs que la résolution proposée n’est pas vigoureuse sur bien des aspects. J’ai tendance à estimer qu’une résolution prenant des positions contraires à l’avis de beaucoup de nos partenaires européens retirerait de la crédibilité à la position des négociateurs français. Par exemple, je ne suis pas opposé sur le fond à retenir une durée de conservation des données de trois ans, mais je crains que cela ne soit inefficace.
Sur le reste, je partage tout à fait ce qu’a dit Delphine Batho et qui ne me semblait pas en opposition avec la position que j’ai exposée.
M. le président. En tout état de cause, aurait-on véritablement les moyens de vérifier que les données seront bien détruites à l’expiration du délai fixé par la décision-cadre ?
M. le rapporteur. Dans les pays de l’Union européenne, je pense que oui. En revanche, il est probablement permis d’en douter s’agissant des États tiers.
*
* *
À l’issue de ce débat, la Commission a adopté sans modification l’ensemble de la proposition de résolution, dont le texte figure ci-après.
PROPOSITION DE RÉSOLUTION ADOPTÉE PAR LA COMMISSION SUR LA PROPOSITION DE DÉCISION-CADRE DU CONSEIL RELATIVE À L’UTILISATION DES DONNÉES DES DOSSIERS PASSAGERS (PASSENGER NAME RECORD, PNR) À DES FINS RÉPRESSIVES
Article unique
L’Assemblée nationale,
Vu l’article 88-4 de la Constitution,
Vu la proposition de décision-cadre du Conseil relative à l’utilisation des données des dossiers passagers (Passenger Name Record, PNR) à des fins répressives (COM [2007] 654 final/n° E 3697),
1. Juge que les données PNR constituent un outil nécessaire à la lutte contre le terrorisme et les formes graves de criminalité et que l’institution d’un régime de transfert et de collecte harmonisé au niveau européen permettrait de renforcer l’efficacité des mesures prises au plan national par les États membres ;
2. Estime que certaines questions ne sont pas résolues et souhaite, dans le cadre des débats menés en 2009 ;
– que le plein respect des droits fondamentaux et, notamment, du droit à la vie privée et du droit à la protection des données soit assuré à chaque étape de la collecte et du traitement des données ;
– que la durée de conservation soit ramenée à un délai raisonnable compris entre trois et six années ;
– que la question des données sensibles fasse l’objet de protections spécifiques et cohérentes, quelle que soit l’option qui sera retenue entre l’exclusion de toute utilisation ou la possible utilisation à des fins d’enquêtes ou de poursuites en cours ;
– qu’un encadrement plus strict soit obtenu s’agissant des transferts de données vers des États tiers, de sorte qu’un État membre ne puisse être source de fuite de masses de données brutes vers un État tiers,
– que les problèmes soulevés par les futures demandes d’accès aux données PNR à titre de réciprocité soient étudiés.