N° 4034 - Rapport de M. Guy Geoffroy sur la proposition de résolution européenne de M. Guy Geoffroy, rapporteur de la commission des affaires européennes sur la proposition de directive relative à la mise en place dun système européen de collecte et de traitement des données des dossiers passagers (données PNR) (n°3962) - XIIIe législature

N° 4034

——

ASSEMBLÉE NATIONALE

CONSTITUTION DU 4 OCTOBRE 1958

TREIZIÈME LÉGISLATURE

Enregistré à la Présidence de l’Assemblée nationale le 7 décembre 2011.

RAPPORT

FAIT

AU NOM DE LA COMMISSION DES LOIS CONSTITUTIONNELLES, DE LA LÉGISLATION ET DE L’ADMINISTRATION GÉNÉRALE DE LA RÉPUBLIQUE SUR LA PROPOSITION DE RÉSOLUTION EUROPÉENNE (N° 3962) sur la proposition de directive relative à la mise en place d’un système européen de collecte et de traitement des données des dossiers passagers (données PNR),

PAR M. Guy GEOFFROY

Député.

——

Voir le numéro : 3961.

INTRODUCTION 5

I. L’INTÉRÊT DES DONNÉES DES DOSSIERS DE PASSAGERS 6

1. La spécificité de ces données 6

2. Une efficacité avérée 7

II. LA PRÉCÉDENTE RÉSOLUTION ADOPTÉE PAR LA COMMISSION EN 2009 7

III. LA PRÉSENTE PROPOSITION DE RÉSOLUTION 8

EXAMEN EN COMMISSION 11

AMENDEMENTS EXAMINÉS PAR LA COMMISSION 17

Mesdames, Messieurs,

La commission des Lois est saisie, en application de l’article 151-6 du Règlement, d’une proposition de résolution que votre rapporteur a eu l’honneur de déposer au nom de la commission des Affaires européennes, le 16 novembre 2011, sur la proposition de directive du Parlement européen et du Conseil relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (COM [2011] 32 final/n° E 6014). Cette proposition de résolution résulte des travaux ⁽1) de votre rapporteur à la commission des Affaires européennes.

La commission des Lois s’était déjà saisie de cette question le 30 septembre 2009 ⁽²⁾ à l’occasion de l’examen, en application de l’article 88-4 de la Constitution, d’une proposition de résolution ⁽³⁾ de votre rapporteur, déposée le 11 février 2009 au nom de la commission chargée des affaires européennes, sur la proposition de décision cadre du Conseil relative à l’utilisation des données des dossiers passagers (Passenger name record, PNR) à des fins répressives (COM [2007] 654 final/n°E 3697), qui n’a pas abouti. À l’époque, cette proposition de résolution avait été renvoyée à votre Commission avant l’entrée en vigueur du nouveau Règlement de l’Assemblée nationale, le 25 juin 2009. Les dispositions du nouvel article 151-6 ⁽⁴⁾ ne s’appliquant pas à elle, la commission des Lois devait examiner et adopter la proposition de résolution afin qu’elle puisse devenir définitive.

C’est donc dans le prolongement de ses travaux de 2009 que votre Commission se saisit aujourd’hui de la présente proposition de résolution.

I. L’INTÉRÊT DES DONNÉES DES DOSSIERS DE PASSAGERS

Depuis le 11 septembre 2001, les États-Unis, suivis par d’autres pays du monde, ont mis en place des dispositions visant à utiliser les données de dossiers de passagers des compagnies aériennes dans la lutte contre le terrorisme et la criminalité grave. Parallèlement, il importe de faire respecter un équilibre qui tienne compte des droits fondamentaux des citoyens qui voyagent. Cette question sous-tend les réflexions de votre Commission comme celles de la commission des Affaires européennes.

Il importe, par ailleurs, dans le dialogue entre l’Europe et les États-Unis, de rester conscients du fait que les attentats du 11 septembre ont été commis sur le territoire américain à partir de vols intérieurs. Si la nécessité d'utiliser les données personnelles est compréhensible, cette utilisation doit se faire dans le souci d'un véritable équilibre. Or, comme votre commission l’a déjà mis en lumière le 30 septembre 2009, l'accord de 2007 n’en était pas réellement un, puisqu’il avait été imposé par les États-Unis. La commission des Lois avait alors dénoncé son caractère peu équilibré.

1. La spécificité de ces données

Les données des dossiers passagers (PNR) sont celles collectées par les compagnies aériennes auprès de leurs passagers au stade de la réservation commerciale. Les informations, nombreuses, concernent notamment :

— l’identification du passager (nom, prénom, adresse, coordonnées) ;

— les dates de son voyage ;

— l’agence de voyage utilisée ;

— l’itinéraire complet ;

— la place dans l’avion ;

— le nombre et le poids des bagages ;

— le contact dans le pays d’arrivée ;

— le tarif accordé et le moyen de paiement utilisé ;

— le nombre et le nom des personnes l’accompagnant.

Une rubrique « remarques générales » permet de noter des demandes particulières du passager relatives aux repas ou en relation avec son état de santé.

Ces données se distinguent des données dites « APIS » (Advance passenger information system) qui sont biographiques (nom, prénom, date de naissance, sexe, nationalité) ou relatives au document de voyage utilisé. Elles sont recueillies lors de l’enregistrement à partir du document de voyage.

2. Une efficacité avérée

La mise en place d’un dispositif de collecte des données de passagers à l'échelle européenne permettra à l’Europe de disposer d’une base solide pour poursuivre un dialogue équilibré et constructif avec l'ensemble de ses partenaires internationaux, qu'il s'agisse des États-Unis ou d'autres pays, comme l'Australie et le Canada.

Des pays membres de l'Union européenne ont également commencé à prendre des dispositions. Ainsi, le Royaume-Uni possède sans doute le régime le plus avancé en la matière et peut se prévaloir d'une certaine efficacité. La Belgique et la Suède utilisent les données PNR à des fins douanières ou de lutte contre le terrorisme, avec de premiers résultats très appréciables : entre les deux tiers et 95 % des saisies de drogue résultent exclusivement ou presque exclusivement du traitement des données PNR. La douane française atteint des statistiques comparables, par exemple à l'aéroport de Roissy-Charles de Gaulle.

II. LA PRÉCÉDENTE RÉSOLUTION ADOPTÉE PAR LA COMMISSION EN 2009

La Commission s'est prononcée en 2009 sur une proposition de décision-cadre, datant de 2007. La résolution adoptée à cette occasion s'articulait autour de cinq points, qui restent d’actualité même si le projet de directive qui a suivi est désormais mieux équilibré.

Tout d’abord, la proposition de résolution jugeait indispensable que « le plein respect des droits fondamentaux et, notamment, du droit à la vie privée et du droit à la protection des données soit assuré à chaque étape de la collecte et du traitement des données ».

S’agissant de la question fondamentale de la durée de conservation des données, elle se prononçait, à juste raison, pour que « la durée de conservation soit ramenée à un délai raisonnable compris entre trois et six années ». Rappelons d’ailleurs que la proposition de décision-cadre de la Commission prévoyait une durée de conservation de treize ans, dont, il est vrai, 8 ans dans une base « inactive ».

La résolution estimait que la question des données sensibles (handicap, régime alimentaire permettant de déduire l’appartenance à une religion…) devait faire « l’objet de protections spécifiques et cohérentes, quelle que soit l’option qui sera retenue entre l’exclusion de toute utilisation ou la possible utilisation à des fins d’enquêtes ou de poursuites en cours ».

Cette même résolution jugeait indispensable « qu’un encadrement plus strict soit obtenu s’agissant des transferts de données vers des États tiers, de sorte qu’un État membre ne puisse être source de fuite de masses de données brutes vers un État tiers ».

Enfin, la résolution estimait nécessaire « que les problèmes soulevés par les futures demandes d’accès aux données PNR à titre de réciprocité soient étudiés ».

Bien que difficile et encore déséquilibré, le dialogue avec les États-Unis progresse. Votre rapporteur a d’ailleurs présenté une communication sur ce sujet devant la commission des Affaires européennes le mercredi 7 décembre 2011 ⁽5).

III. LA PRÉSENTE PROPOSITION DE RÉSOLUTION

La proposition de résolution porte sur le projet de directive tendant à mettre en place un système de collecte et de traitement des données PNR pour la lutte contre le terrorisme et la criminalité grave à l'échelle européenne, afin de doter l’Europe d'un outil qui permette aux États membres d'être plus cohérents dans l'approche de ces questions sur le territoire européen.

Les vols concernés seraient les vols internationaux à destination ou en provenance des États membres. Cependant, votre rapporteur souligne que la question des vols intra-européens mérite d’être examinée. En effet, pour des motifs de proportionnalité, ces derniers ont été exclus du dispositif actuel de la proposition de directive. Or, les attentats du 11 septembre ont été commis à partir de vols internes aux États-Unis : il ne faut donc pas exclure a priori les vols intra-européens du dispositif, sous peine de vider celui-ci de sa substance ab initio. Les services opérationnels, que votre rapporteur a rencontrés dans le cadre de la préparation du rapport d'information qu’il a rédigé au nom de la commission des Affaires européennes, ont tous remis en cause cette exclusion, qui ferait perdre au projet une grande partie de son utilité. Une nouvelle rédaction est donc à l'étude, qui permettrait aux États membres de sélectionner les vols pour lesquels ils souhaitent disposer des données des dossiers passagers. C'est pourquoi le point 7 de la proposition de résolution affirme que les vols intra-européens ne doivent pas, par principe, « être exclus du champ d'application de la directive ».

La durée de conservation des données prévue par le projet de directive serait nettement plus raisonnable que celle proposée en 2007, qui était de treize années au total. Mais le dispositif de la directive qui nous est proposée est passé d’un excès à l’autre : les données ne seraient conservées que trente jours puis, pendant une durée de cinq ans, après que les éléments nominatifs auront été masqués. Cette durée de conservation de trente jours seulement ne manquera pas d’engendrer des difficultés. Dans la recherche du juste équilibre entre la lutte contre le terrorisme et la protection des droits fondamentaux, votre rapporteur estime qu’il conviendra de veiller à ce que l'outil conserve toute sa pertinence opérationnelle. Des doutes très sérieux ont été émis sur cette durée de conservation, car des enquêtes pourraient être freinées si les données n’étaient plus utilisables à compter du trente et unième jour. Les autorités françaises souhaitent, comme la commission des Affaires européennes, que le premier délai de conservation soit porté à un an, durée qui semble tout à fait justifiée. Pour certaines formes de criminalité en effet, on observe fréquemment que les malfaiteurs espacent leurs déplacements. Dans ce cas, une durée de conservation d'un mois risquerait de vider le projet de directive de son effectivité.

Le projet de directive prévoit également dans chaque État membre la création d’une unité de renseignements « passagers » destinée à recevoir les données transférées par les compagnies aériennes et à les exploiter, puis à fournir les résultats de ces analyses aux autorités nationales compétentes.

Le projet de directive exclut en outre clairement l’utilisation des données « sensibles ». Il faut néanmoins veiller à ce que la rédaction du texte n’exclue par toutes les données au motif qu’elles seraient sensibles. Ainsi, des indications relatives au sexe, à l’âge et à la nationalité pourraient parfois être d’une grande utilité.

Enfin, les transferts de données vers les États tiers, question particulièrement sensible, seraient bien mieux encadrés qu'ils ne l'étaient dans le projet inabouti de décision-cadre de 2007, avec notamment l'obligation de recueillir l'accord de l'État membre d'origine des données avant le transfert, ce qui semble à votre rapporteur la moindre des choses.

Malgré les progrès réalisés, votre rapporteur constate que le contrôleur européen de la protection des données et le G29, qui regroupe les autorités de protection des données européennes, ainsi que l'Agence européenne des droits fondamentaux, ont émis des avis négatifs sur le texte. Ils estiment notamment que la proportionnalité et la nécessité de la mesure ne sont pas suffisamment justifiées. L'équilibre ne serait pas atteint entre les risques et les moyens mis en œuvre. Votre rapporteur souligne que ces réserves ne doivent cependant pas bloquer notre réflexion, ni le soutien qu’il faut apporter à l’évolution positive de ce dossier, même si certaines cours constitutionnelles nationales – celles de l’Allemagne, de la Bulgarie et de la Roumanie – ont rendu récemment des arrêts qui font peser des risques sur la possibilité d’établir des régimes de collecte de données de grande ampleur et systématique.

Votre rapporteur constate cependant que le projet de directive est bien plus satisfaisant que la proposition de décision-cadre de 2007, ce que rappelle et salue le point 5 de la proposition de résolution.

Votre rapporteur estime que le projet de directive doit se concrétiser, pour deux raisons. Tout d’abord, il existe un réel risque de voir coexister, au sein de l'Union européenne, plusieurs systèmes de collecte des données PNR, mal articulés. En outre, cette situation fragiliserait la position de l’Union européenne vis-à-vis de nos partenaires australiens, canadiens et américains. À l’inverse, disposer d'un accord européen sur ce sujet serait un grand atout dans ce dialogue.

EXAMEN EN COMMISSION

La Commission a examiné la proposition de résolution au cours de sa séance du mercredi 7 décembre 2011.

Après l’exposé du rapporteur, une discussion générale a eu lieu.

Mme Marietta Karamanli. Cette proposition de directive, qui fait suite à la proposition de 2007, présente des améliorations relatives à la protection des données et restreint le champ d’application du dispositif et les conditions de traitement des données PNR. Sur le fond, cependant, la très grande masse des informations traitées et l’évaluation systématique de tous les passagers suppose que soient démontrés à la fois son impact par rapport au résultat visé et la proportionnalité des mesures utilisées de façon courante en l’absence de critères évaluant objectivement le risque terroriste, c’est-à-dire l’importance de ce risque et sa fréquence.

Nous avons présenté plusieurs amendements, qui apportent des précisions importantes, dans la mesure où la qualité du dispositif et son acceptation juridique, politique et sociale sont directement liées à la limitation des dérogations qu’il prévoit en matière d’utilisation des données personnelles.

M. Michel Hunault. Je souhaiterais savoir quel est le statut du contrôleur européen des données ? S’agit-il d’une autorité indépendante et peut-il faire rapport aux parlements nationaux sur la mise en place de ce dispositif ?

M. Philippe Gosselin. Je me réjouis que la représentation nationale puisse intervenir au moyen de telles résolutions. La directive proposée a l’intérêt d’offrir un système unique qui permettra de peser davantage à l’extérieur, ainsi qu’un meilleur encadrement du transfert des données vers des États tiers, une meilleure proportionnalité et une meilleure réciprocité, mais des progrès restent nécessaires en vue d’une proportionnalité encore plus adaptée. Le dispositif proposé présente en outre quelques limites, rappelées par le rapporteur et liées notamment aux réserves émises par les cours constitutionnelles allemande, bulgare et roumaine et par le G29, qui réunit l’ensemble des équivalents européens de la Commission nationale de l’informatique et des libertés (CNIL).

M. Philippe Goujon. Les données PNR ont fait la preuve de leur efficacité dans la lutte contre le terrorisme et la grande criminalité, et votre rapport d’information, monsieur le rapporteur, évoque les résultats très importants obtenus par les douanes françaises grâce à l’utilisation de ces données par les cellules de ciblage de Roissy. De fait, pas moins de 80 % des saisies de cocaïne sont imputables à l’utilisation de ces données, qui se traduit par des taux de réussite sept fois supérieurs à ceux obtenus par d’autres méthodes d’analyse.

Des mesures de formation spécifique des agents chargés de ciblage, visant à mieux les confronter aux réalités de ce contrôle, sont-elles envisagées ?

Au Royaume-Uni, pays très en avance dans ce domaine, le recours à ces méthodes a permis d’interpeller 89 000 personnes, dont des terroristes et des trafiquants d’être humains, grâce à un ciblage sur la base de critères prédéfinis. Quel calendrier préconisez-vous pour la mise en place d’un tel système ? Celui-ci, s’il s’applique aux vols intérieurs, permettrait-il d’alléger les formalités d’embarquement, lesquelles donnent lieu à des contrôles très tatillons mais peu efficaces ?

Enfin, alors que nous allons, je l’espère, adopter prochainement une proposition de loi relative à la protection de l’identité, l’introduction de ce nouveau titre sécurisé sera-t-il un apport supplémentaire à la sécurisation des déplacements aériens qui fait l’objet de la résolution que nous examinons ?

M. le rapporteur. Madame Karamanli, les amendements que vous défendrez tout à l’heure nous permettront de poursuivre l’échange.

Monsieur Hunault, le contrôleur européen des données a été créé par le règlement n° 45/2001 du 18 décembre 2000, qui établit l’indépendance institutionnelle de cette autorité de contrôle. Nous devrons nous renseigner pour savoir s’il est possible d’obtenir de cette autorité d’autres rapports que son rapport annuel, car il serait en effet pertinent de pouvoir mobiliser toutes les informations qu’elle est susceptible de mettre à notre disposition.

Monsieur Gosselin, je souscris à votre jugement selon lequel il reste encore des progrès à faire. À cet égard, les parlements nationaux peuvent jouer, aux côtés de leurs gouvernements, un rôle important. Depuis l’origine, soit depuis une dizaine d’années, la position de la France sur les PNR a toujours tenu grand compte des délibérations de l’Assemblée nationale, et M. Jacques Barrot, lorsqu’il était Commissaire européen chargé de la justice et des affaires intérieures, a tenu à intégrer à l’échelle de la Commission européenne certaines recommandations et observations formulées par notre assemblée.

Monsieur Goujon, la nécessité d’une formation spécifique des personnels en vue d’un ciblage équilibré, mais utile, n’a pas échappé aux responsables des services des douanes, que j’ai eu l’occasion d’auditionner dans le cadre de la préparation de mon rapport pour la commission des Affaires européennes. Ces personnels sont effectivement formés pour répondre aux préoccupations que vous exprimez.

Il ne me semble pas, en revanche, que les dispositions que nous examinons permettent d’envisager un allégement des contrôles à l’embarquement, car elles portent sur les données, et non pas sur les matériels, et ne sauraient éliminer tous les risques à ce niveau.

Quant au titre sécurisé, les informations qu’il contient sont différentes de celles qui sont recueillies au titre des données PNR : il s’agit plus d’une complémentarité que du remplacement des unes par les autres.

La Commission passe à la discussion des amendements déposés à l’article unique de la proposition de résolution européenne.

Article unique

La Commission examine l’amendement CL 1 de Mme Marietta Karamanli.

Mme Marietta Karamanli. Cet amendement vise à l’établissement d’un rapport destiné aux autorités nationales. En effet, je le rappelle, plusieurs autorités européennes ont jugé insuffisante l’analyse de la Commission européenne.

M. le rapporteur. Avis défavorable. Sur la forme, tout d’abord, il n’est pas d’usage qu’une résolution européenne demande un rapport destiné aux parlements nationaux. Sur le fond, la question du respect des principes de nécessité et de proportionnalité, qui constitue précisément tout l’enjeu de l’élaboration de la directive, n’a pas à être cantonnée dans un rapport. Quant aux prérogatives du Parlement français, ce que nous faisons en cet instant même témoigne de l’importance accordée par notre Commission à cet enjeu. Si notre président n’avait pas décidé que notre Commission devait se saisir du projet de résolution adopté par la Commission des affaires européenne, celui-ci serait devenu automatiquement la résolution de l’Assemblée nationale. En choisissant l’explicite plutôt que le tacite, nous avons déjà répondu à la volonté exprimée par l’amendement.