CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. PAOLO MENGOZZI
présentées le 8 septembre 2016 (1)
Avis 1/15
[demande d’avis présentée par le Parlement européen]
« Demande d’avis – Recevabilité – Projet d’accord entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers – Données des passagers aériens [Passenger Name Record (PNR)] – Compatibilité de ce projet d’accord avec l’article 16 TFUE et les articles 7, 8 et l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne – Base juridique »
Table des matières
I – Introduction
II – Le cadre juridique
III – Les antécédents de l’accord envisagé
IV – La procédure devant la Cour
V – Sur la recevabilité de la demande d’avis
VI – Sur la base juridique appropriée de l’acte de conclusion de l’accord envisagé (seconde question)
A – Synthèse de l’argumentation du Parlement et des autres parties intéressées
B – Analyse
1. Sur la finalité et le contenu de l’accord envisagé
2. Sur la base juridique appropriée
a) Sur la pertinence de l’article 82, paragraphe 1, sous d), et de l’article 87, paragraphe 2, sous a), TFUE
b) Sur la nécessité de fonder l’acte de conclusion de l’accord envisagé sur l’article 16, paragraphe 2, premier alinéa, TFUE
VII – Sur la compatibilité de l’accord envisagé avec les dispositions du traité FUE et de la Charte (première question)
A – Synthèse de la demande et des observations du Parlement ainsi que des observations des autres parties intéressées
1. Synthèse de la demande et des observations du Parlement
2. Synthèse des observations des autres parties intéressées
B – Analyse
1. Observations liminaires
2. Sur l’existence d’une ingérence dans les droits garantis par les articles 7 et 8 de la Charte
3. Sur la justification de l’ingérence dans les droits garantis par les articles 7 et 8 de la Charte
a) Une ingérence « prévue par la loi », au sens de l’article 52, paragraphe 1, de la Charte
b) Une ingérence répondant à un objectif d’intérêt général
c) Sur la proportionnalité de l’ingérence que comporte l’accord envisagé
i) Considérations générales
ii) Sur l’aptitude de l’ingérence à réaliser l’objectif de sécurité publique poursuivi par l’accord envisagé
iii) Sur le caractère strictement nécessaire de l’ingérence
– Sur les catégories de données PNR visées par l’accord envisagé
– Sur le caractère suffisamment précis de la finalité pour laquelle le traitement de données PNR est autorisé
– Sur le champ d’application personnel de l’accord envisagé
– Sur l’identification de l’autorité compétente en charge du traitement de données PNR
– Sur le traitement automatisé des données PNR
– Sur l’accès aux données PNR
– Sur la conservation des données PNR
– Sur la divulgation et le transfert ultérieur des données PNR
– Sur les mesures de surveillance et de contrôles administratif et juridictionnel
VIII – Conclusion
I – Introduction
1. En application de l’article 218, paragraphe 11, TFUE, le Parlement européen a saisi la Cour d’une demande d’avis concernant l’accord envisagé entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers (ci-après l’« accord envisagé »), afin de lui permettre de donner suite à la sollicitation du Conseil de l’Union européenne, du mois de juillet 2014, demandant au Parlement d’approuver la proposition de décision relative à la conclusion de l’accord envisagé (2).
2. Schématiquement, l’accord envisagé prévoit que les données de dossiers passagers (Passenger Name Record, ci-après les « données PNR »), qui sont collectées par les transporteurs aériens auprès des passagers à des fins de réservation des vols entre le Canada et l’Union européenne, soient transférées aux autorités canadiennes compétentes, puis traitées et utilisées par ces dernières dans le but de prévenir et de détecter des infractions terroristes ou d’autres actes graves de criminalité transnationale, tout en fixant un certain nombre de garanties quant au respect de la vie privée et de la protection des données à caractère personnel des passagers.
3. La demande d’avis, qui concerne tant la compatibilité de l’accord envisagé avec le droit primaire de l’Union que la base juridique appropriée de la décision du Conseil devant porter conclusion de l’accord envisagé, est libellée comme suit :
« L’accord envisagé est-il compatible avec les dispositions des traités (article 16 TFUE) et la charte des droits fondamentaux de l’Union européenne (articles 7, 8 et article 52, paragraphe 1) en ce qui concerne le droit des personnes physiques à la protection des données à caractère personnel ?
L’article 82, paragraphe 1, sous d), et l’article 87, paragraphe 2, sous a), TFUE constituent-ils la base juridique appropriée de l’acte du Conseil portant sur la conclusion de l’accord envisagé ou cet acte doit-il se baser sur l’article 16 TFUE ? »
4. Indépendamment de son contenu, la réponse qu’apportera la Cour à cette demande aura nécessairement des implications sur les accords dits PNR, déjà en vigueur, qui lient l’Union européenne à l’Australie (3) et aux États-Unis d’Amérique (4), ainsi que sur le futur « régime PNR », mis en place au sein de l’Union elle-même, qui a récemment été approuvé par le Parlement, alors que la présente procédure était encore en cours (5).
5. La présente demande d’avis nécessite l’examen de questions à la fois inédites et délicates.
6. Sous l’angle de la détermination de la base juridique appropriée de l’acte portant conclusion de l’accord envisagé, cette demande doit notamment conduire la Cour à examiner pour la première fois la portée de l’article 16, paragraphe 2, TFUE, qui a été introduit à la suite de l’adoption du traité de Lisbonne, ainsi que l’articulation de cet article avec les dispositions du traité relatives à l’espace de liberté, de sécurité et de justice (ci-après l’« ELSJ »). À cet égard, comme je le démontrerai dans les présentes conclusions (6), l’accord envisagé poursuit des objectifs et présente un contenu interdépendants, de telle sorte que l’acte de conclusion de cet accord doit être basé, selon moi, tant sur l’article 16 TFUE que sur l’article 87, paragraphe 2, sous a), TFUE.
7. C’est également la première fois que la Cour devra se prononcer sur la compatibilité d’un projet d’accord international avec les droits fondamentaux consacrés par la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte », plus particulièrement ceux relatifs au respect de la vie privée et familiale, garanti par son article 7, et à la protection des données à caractère personnel, assurée par son article 8. L’examen de cette question bénéficie incontestablement des enseignements précieux issus des arrêts du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), ainsi que du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650). Comme cela sera plus amplement expliqué, j’estime qu’il y a bien lieu de suivre la voie tracée par ces arrêts et de soumettre l’accord envisagé à un contrôle strict du respect des exigences posées par les articles 7, 8 et l’article 52, paragraphe 1, de la Charte. Il n’en demeure pas moins qu’il convient de garder à l’esprit que le projet d’accord dont la Cour est saisie est la conséquence d’une négociation internationale avec un pays tiers, lequel, à défaut d’accord satisfaisant, sera susceptible de renoncer à la conclusion de l’accord envisagé et préférera, comme c’est le cas actuellement, appliquer unilatéralement son régime PNR aux transporteurs aériens établis dans l’Union et assurant des liaisons avec le Canada.
8. Ce constat ne signifie pas que la Cour doive abaisser le degré de vigilance dont elle a fait preuve quant au respect des droits fondamentaux protégés en droit de l’Union. Il est en effet nécessaire que, au moment où les technologies modernes permettent aux autorités publiques, au nom de la lutte contre le terrorisme et la criminalité transnationale grave, de développer des méthodes extrêmement sophistiquées de surveillance de la vie privée des individus et d’analyse de leurs données à caractère personnel, la Cour s’assure que les mesures projetées, fussent-elles sous la forme d’accords internationaux envisagés, reflètent une pondération équilibrée entre le souci légitime de préserver la sécurité publique et celui, non moins fondamental, à ce que toute personne puisse jouir d’un niveau élevé de protection de sa vie privée et de ses propres données.
9. Ainsi que mes propos ultérieurs l’illustreront, il est indéniable que les parties contractantes ont tenté, parfois de façon insuffisante, d’effectuer une mise en balance de ces deux objectifs indissociablement poursuivis par l’accord envisagé. Cet effort doit, me semble-t-il, être salué. Toutefois, sans remettre en cause ni l’objet ni la nécessité de l’accord envisagé, je considère, comme les présentes conclusions le démontreront, que, pour être compatible avec les articles 7, 8 et l’article 52, paragraphe 1, de la Charte, l’accord envisagé devra être mis au point et/ou expurgé de certaines de ses stipulations actuelles de sorte à ce qu’il n’excède pas ce qui est strictement nécessaire à la réalisation de son objectif sécuritaire.
II – Le cadre juridique
10. L’article 16 TFUE énonce ce qui suit :
« 1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes.
[...] »
11. L’article 82 TFUE, qui s’insère dans le chapitre 4 du titre V de la troisième partie dudit traité, chapitre intitulé « coopération judiciaire en matière pénale », prévoit :
« 1. La coopération judiciaire en matière pénale dans l’Union est fondée sur le principe de la reconnaissance mutuelle des jugements et décisions judiciaire et inclut le rapprochement des dispositions législatives et réglementaires des États membres dans les domaines visés au paragraphe 2 [...]
Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, adoptent les mesures visant :
[...]
d) à faciliter la coopération entre les autorités judiciaires ou équivalentes des États membres dans le cadre des poursuites pénales et de l’exécution des décisions.
[...] »
12. L’article 87 TFUE, qui fait partie du chapitre 5 du titre V de la troisième partie dudit traité, chapitre intitulé « coopération policière », dispose ce qui suit :
« 1. L’Union développe une coopération policière qui associe toutes les autorités compétentes des États membres, y compris les services de police, les services des douanes et autres services répressifs spécialisés dans les domaines de la prévention ou de la détection des infractions pénales et des enquêtes en la matière.
2. Aux fins du paragraphe 1, le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire peuvent établir des mesures portant sur :
a) la collecte, le stockage, le traitement, l’analyse et l’échange d’informations pertinentes ;
[...] »
13. L’article 7 de la Charte énonce :
« Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. »
14. L’article 8 de la Charte affirme :
« 1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. »
15. L’article 52 de la Charte, intitulé « Portée et interprétation des droits et principes », prévoit ce qui suit :
« 1. Toute limitation de l’exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui.
[...] »
16. Le protocole (n° 21) sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice dispose, à ses articles 1er, 3 et 6 bis, ce qui suit :
« Article premier
Sous réserve de l’article 3, le Royaume-Uni et l’Irlande ne participent pas à l’adoption par le Conseil des mesures proposées relevant de la troisième partie, titre V, du [traité FUE]. L’unanimité des membres du Conseil, à l’exception des représentants des gouvernements du Royaume-Uni et de l’Irlande, est requise pour les décisions que le Conseil est appelé à prendre à l’unanimité.
Aux fins du présent article, la majorité qualifiée se définit conformément à l’article 238, paragraphe 3, [TFUE].
[...]
Article 3
1. Le Royaume-Uni ou l’Irlande peut notifier par écrit au président du Conseil, dans un délai de trois mois à compter de la présentation au Conseil d’une proposition ou d’une initiative en application de la troisième partie, titre V du [traité FUE], son souhait de participer à l’adoption et à l’application de la mesure proposée, à la suite de quoi cet État y est habilité.
[...]
Article 6 bis
Le Royaume-Uni ou l’Irlande ne sera pas lié par des règles fixées sur la base de l’article 16 [TFUE] qui concernent le traitement des données à caractère personnel par les États membres dans l’exercice d’activités qui relèvent du champ d’application des chapitres 4 ou 5 du titre V de la troisième partie dudit traité, lorsque le Royaume-Uni ou l’Irlande n’est pas lié par des règles de l’Union qui régissent des formes de coopération judiciaire en matière pénale ou de coopération policière dans le cadre desquelles les dispositions fixées sur la base de l’article 16 doivent être respectées. »
17. Le protocole (n° 22) sur la position du Danemark prévoit, à ses articles 1er, 2 et 2 bis, ce qui suit :
« Article premier
Le Danemark ne participe pas à l’adoption par le Conseil des mesures proposées relevant de la troisième partie, titre V, du [traité FUE]. L’unanimité des membres du Conseil, à l’exception du représentant du gouvernement du Danemark, est requise pour les décisions que le Conseil est appelé à prendre à l’unanimité.
Aux fins du présent article, la majorité qualifiée se définit conformément à l’article 238, paragraphe 3, [TFUE].
Article 2
Aucune des dispositions de la troisième partie, titre V, du [traité FUE], aucune mesure adoptée en application dudit titre, aucune disposition d’un accord international conclu par l’Union en application dudit titre et aucune décision de la Cour de justice de l’Union européenne interprétant ces dispositions ou mesures ou toute mesure modifiée ou modifiable en application dudit titre, ne lie le Danemark ou n’est applicable à son égard ; ces dispositions, mesures ou décisions ne portent en rien atteinte aux compétences, aux droits et aux obligations du Danemark ; ces dispositions, mesures ou décisions ne modifient en rien l’acquis communautaire ni celui de l’Union et ne font pas partie du droit de l’Union, tels qu’ils s’appliquent au Danemark. [...]
Article 2 bis
L’article 2 du présent protocole est également d’application à l’égard de celles des règles fixées sur la base de l’article 16 [TFUE] qui concernent le traitement des données à caractère personnel par les États membres dans l’exercice d’activités qui relèvent du champ d’application des chapitres 4 ou 5 du titre V de la troisième partie dudit traité. »
III – Les antécédents de l’accord envisagé
18. Le 18 juillet 2005, le Conseil a approuvé l’accord entre la Communauté européenne et le gouvernement canadien sur le traitement des données relatives aux informations préalables sur les voyageurs et aux dossiers passagers (ci-après l’« accord de 2006 ») (7).
19. Conformément à son préambule, l’accord de 2006 a été conclu vu l’obligation imposée par le gouvernement du Canada aux transporteurs aériens de passagers vers le Canada de fournir aux autorités canadiennes compétentes des données relatives aux informations préalables sur les voyageurs et aux dossiers passagers (ci-après les « données IPV/PNR »), dans la mesure où elles sont recueillies et stockées dans leurs systèmes de réservation automatisés et systèmes de contrôle des départs.
20. Selon l’article 1er de l’accord de 2006, celui-ci avait « pour objet d’assurer que les données IPV/PNR des personnes effectuant des voyages admissibles sont fournies dans le plein respect des droits et des libertés fondamentaux, et notamment le droit au respect de la vie privée ». L’autorité compétente pour le Canada était, conformément à l’annexe I de l’accord de 2006, « l’Agence des services frontaliers du Canada (ASFC) ».
21. Eu égard à cet engagement, la Commission européenne a adopté, sur le fondement de l’article 25, paragraphe 2, de la directive 95/46/CE (8), la décision 2006/253/CE (9), dont l’article 1er prévoyait que l’ASFC était considérée comme assurant un niveau de protection adéquat des données PNR transférées à partir de la Communauté européenne en ce qui concerne les vols à destination du Canada. La décision 2006/253 ayant expiré au mois de septembre 2009 (10) et la durée de validité de l’accord de 2006 étant liée à celle de cette décision (11), cet accord est donc également venu à échéance au mois de septembre 2009.
22. Le 5 mai 2010, le Parlement a adopté une résolution sur le lancement des négociations sur des accords relatifs aux données des passagers aériens (PNR) avec les États-Unis, l’Australie et le Canada (12). Dans cette résolution, le Parlement demandait notamment la mise en œuvre d’une approche cohérente pour l’utilisation des PNR à des fins d’application de la loi et de sécurité, par l’élaboration d’un ensemble unique de principes devant servir de base à des accords avec des pays tiers. À cet égard, il invitait la Commission à présenter une proposition de modèle unique et un projet de mandat de négociation avec les pays tiers, tout en énonçant les conditions minimales devant être remplies (13).
23. Le 21 septembre 2010, la Commission a adopté trois propositions visant à autoriser l’ouverture des négociations avec les États-Unis, l’Australie et le Canada (14). Par la suite, des accords ont été signés et conclus avec les États-Unis et l’Australie avec l’approbation du Parlement (15). Ces accords sont entrés en vigueur en 2012.
24. Après la clôture des négociations avec le Canada, la Commission a adopté, le 19 juillet 2013, les propositions de décisions du Conseil relatives à la signature et à la conclusion de l’accord envisagé.
25. Le Contrôleur européen de la protection des données (CEPD) a rendu son avis sur ces propositions le 30 septembre 2013 (16). Dans cet avis, le CEPD soulevait une série d’interrogations quant à la nécessité et la proportionnalité des systèmes PNR et du transfert massif de données PNR vers des pays tiers, mettait en doute le choix de la base juridique matérielle et faisait part de diverses observations et propositions quant aux différentes dispositions de l’accord envisagé.
26. Le 5 décembre 2013, le Conseil a adopté une décision relative à la signature de l’accord envisagé sans que des modifications de ce dernier aient été apportées à la suite de l’avis du CEPD. L’accord envisagé a été signé le 25 juin 2014 sous réserve de sa conclusion à une date ultérieure.
27. Par lettre datée du 7 juillet 2014, le Conseil a demandé l’approbation du Parlement sur le projet de décision relative à la conclusion, au nom de l’Union, de l’accord envisagé. Ce projet de décision vise comme bases juridiques l’article 82, paragraphe 1, sous d), et l’article 87, paragraphe 2, sous a), TFUE, lus en combinaison avec l’article 218, paragraphe 6, sous a), v), TFUE.
28. Le 25 novembre 2014, le Parlement a décidé de saisir la Cour du présent avis, dont les questions ont été reproduites au point 3 des présentes conclusions.
IV – La procédure devant la Cour
29. À la suite du dépôt de la demande par le Parlement, des observations écrites ont été déposées par les gouvernements bulgare, estonien, l’Irlande, les gouverments espagnol, français et du Royaume-Uni ainsi que par le Conseil et la Commission.
30. La Cour a posé une série de questions pour réponse écrite portant, notamment, sur certains aspects pratiques et factuels du traitement des données PNR, la base juridique de l’accord envisagé, le champ d’application territorial de celui-ci ainsi que sur la compatibilité des stipulations dudit accord avec les dispositions du traité FUE et de la Charte, à la lumière des enseignements tirés de la jurisprudence, en particulier des arrêts du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), ainsi que du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650). En outre, en application de l’article 24, second alinéa, du statut de la Cour de justice de l’Union européenne, la Cour a invité le CEPD à répondre auxdites questions. Ce dernier, ainsi que l’Irlande, les gouvernements espagnol, français et du Royaume-Uni, le Parlement, le Conseil et la Commission ont répondu aux questions posées dans les délais.
31. Les représentants du gouvernement estonien, de l’Irlande, des gouvernements espagnol, français et du Royaume-Uni, ceux du Parlement, du Conseil, de la Commission, ainsi que celui du CEPD ont été entendus lors de l’audience qui s’est tenue le 5 avril 2016.
V – Sur la recevabilité de la demande d’avis
32. Tandis que les gouvernements bulgare et estonien ainsi que la Commission partagent l’appréciation du Parlement selon laquelle la demande d’avis est entièrement recevable, le gouvernement français et le Conseil s’interrogent sur la recevabilité de la seconde question figurant dans la demande du Parlement qui a trait à la base juridique appropriée du projet de décision du Conseil portant conclusion de l’accord envisagé.
33. En substance, le gouvernement français et le Conseil font valoir que cette question ne porte ni sur la compétence de l’Union de conclure l’accord envisagé ni sur la répartition des compétences entre cette dernière et les États membres. Par ailleurs, ils soutiennent que l’éventuel recours erroné aux articles 82 et 87 TFUE n’aurait aucune incidence sur la procédure à suivre pour l’adoption de l’acte du Conseil portant sur la conclusion de l’accord envisagé. En effet, tant l’application de l’article 16 TFUE que celle des articles 82 et 87 TFUE nécessiteraient de respecter la procédure législative ordinaire, notamment l’approbation du Parlement, en vertu de l’article 218, paragraphe 6, sous a), v), TFUE.
34. Je suggère à la Cour de déclarer la demande d’avis recevable dans son intégralité.
35. De manière générale, il y a lieu de rappeler tout d’abord que, conformément à l’article 218, paragraphe 11, TFUE et à la jurisprudence de la Cour, l’avis de celle-ci peut être recueilli sur la question de savoir si un « accord envisagé » (17) est compatible avec les règles de fond des traités ou avec celles qui déterminent l’étendue des compétences de l’Union et de ses institutions, y compris les questions relatives à la répartition des compétences entre l’Union et les États membres pour conclure un accord déterminé avec des États tiers (18), comme le confirme l’article 196, paragraphe 2, du règlement de procédure de la Cour.
36. Il est donc indubitable, ce qu’admettent d’ailleurs toutes les parties intéressées, que la demande d’avis, dans la mesure où elle porte sur la compatibilité de l’accord envisagé avec les dispositions de droit matériel du droit primaire de l’Union, y compris les dispositions de la Charte qui ont la même valeur que les traités, est recevable (19).
37. J’estime que tel est aussi le cas en ce qui concerne la seconde question portant sur la détermination de la base juridique appropriée de l’acte par lequel le Conseil est amené à conclure l’accord envisagé.
38. Certes, comme l’ont fait valoir le gouvernement français et le Conseil, aucune des parties intéressées ne doute que, en l’espèce, l’Union dispose de la compétence pour approuver l’accord envisagé, question qui ne fait d’ailleurs pas l’objet de la demande d’avis.
39. Toutefois, il importe de relever que, dans le cadre de l’examen de demandes d’avis précédentes, la Cour a déjà accepté de répondre à la question du choix de la base juridique appropriée de l’acte de conclusion des projets d’accord en cause (20). Cette position a, en substance, été motivée par deux considérations essentielles qui sont intimement liées.
40. D’une part, le choix de la base juridique appropriée de l’acte de conclusion d’un accord international revêt « une importance de nature constitutionnelle » (21), puisque l’Union ne possède que des compétences d’attribution et doit donc pouvoir rattacher les accords internationaux censés entrer dans son ordre juridique à une disposition des traités qui l’habilite à approuver ces actes. Le recours à une base juridique erronée est donc susceptible d’invalider l’acte de conclusion lui-même et, par conséquent, de vicier le consentement de l’Union à être liée par l’accord en cause (22).
41. D’autre part, ne pas saisir l’occasion d’examiner le choix de la base juridique appropriée de l’acte de conclusion d’un projet d’accord dans le cadre de la procédure de saisine préalable de la Cour pourrait, en définitive, conduire à des complications, tant au niveau de l’Union que dans l’ordre juridique international, si l’acte de conclusion de l’accord venait par la suite à être invalidé en raison de l’erreur de base juridique. Or, le but de la procédure préventive prévue à l’article 218, paragraphe 11, TFUE est précisément celui d’éviter que de telles complications puissent surgir dans l’intérêt des parties contractantes (23).
42. Sans nier l’existence de cette jurisprudence, le gouvernement français et le Conseil soutiennent, en substance, qu’aucune des complications juridiques évoquées par la Cour dans ses avis précédents ne serait en mesure de se présenter dans la présente affaire. Ainsi, selon ces parties intéressées, en l’espèce, l’éventuel choix de l’article 16 TFUE comme base juridique matérielle de l’accord envisagé, tel que cela est défendu par le Parlement dans sa demande d’avis, n’affecterait pas la répartition des compétences entre l’Union et les États membres ni ne conduirait à une « procédure législative différente » de celle suivie par le Conseil et la Commission en l’espèce, au sens desdits avis.
43. Cette argumentation n’emporte pas la conviction.
44. Il importe de relever que les situations mises en exergue par la Cour respectivement au point 5 de l’avis 2/00, du 6 décembre 2001 (EU:C:2001:664), et au point 110 de l’avis 1/08, du 30 novembre 2009 (EU:C:2009:739), ne constituent que des exemples dans lesquels le recours à une base juridique erronée est susceptible de vicier le consentement de l’Union à être liée par l’accord auquel cette dernière a souscrit ou d’entraîner des difficultés juridiques sur le plan interne ou sur le plan des relations extérieures de l’Union. En effet, les deux situations mentionnées dans ces points des deux avis – à savoir, d’une part, la situation dans laquelle l’Union se serait engagée sans que le traité lui confère une compétence suffisante pour ratifier un accord dans son ensemble, ce qui reviendrait à examiner la répartition des compétences entre l’Union et les États membres, et, d’autre part, la situation où la base juridique appropriée de l’acte de conclusion prévoirait une procédure législative différente de celle qui a effectivement été suivie par les institutions – ont été introduites par l’expression « tel est le cas notamment lorsque ». D’autres cas de figure engendrant des difficultés juridiques sur le plan interne de l’Union ou sur celui des relations internationales ne peuvent donc pas être exclus.
45. Ensuite, il convient de ne pas perdre de vue que la procédure de l’avis possède un caractère non contentieux et préventif (24). Ce caractère justifie, à mon sens, une certaine souplesse de la part de la Cour quant à l’examen de la recevabilité d’une question afférente à la base juridique appropriée de l’acte de conclusion d’un accord envisagé.
46. Ainsi, au stade de la recevabilité, j’estime que la Cour doit simplement se demander si, en déclinant de répondre à la question posée, un risque sérieux existe que l’acte de conclusion de l’accord puisse être ultérieurement invalidé, fondé sur un motif identique à celui évoqué dans la demande d’avis, cette situation engendrant des difficultés sur le plan interne de l’Union ou sur celui des relations extérieures que la procédure d’avis aurait été susceptible de prévenir.
47. En l’espèce, j’ai la conviction qu’un tel risque ne peut être écarté.
48. En effet, comme je l’examinerai plus loin dans les présentes conclusions, les motifs développés par le Parlement au soutien de la thèse selon laquelle l’article 16 TFUE constitue la base juridique matérielle appropriée de l’acte de conclusion de l’accord envisagé sont très sérieux, à tel point que je les considère comme étant partiellement fondés.
49. Partant, décliner de répondre à cette argumentation dans la présente procédure serait susceptible de conduire le Parlement à attaquer la validité de l’acte de conclusion de l’accord ou, le cas échéant, une juridiction nationale, saisie d’un recours par un particulier lésé par le transfert de ses données PNR à l’autorité canadienne compétente, à adresser à la Cour un renvoi préjudiciel en validité de l’accord et de son acte de conclusion.
50. Par ailleurs, c’est, à mon sens, à tort que le gouvernement français et le Conseil minimisent les conséquences d’une déclaration d’invalidité de l’acte de conclusion de l’accord envisagé s’il s’avérait, en définitive, que, à la suite d’un recours en annulation ou d’un renvoi préjudiciel en validité, cet acte aurait dû être adopté, comme le soutient le Parlement, sur la seule base juridique de l’article 16 TFUE.
51. En effet, comme j’y reviendrai par la suite et comme cela a été abordé dans certaines observations écrites, retenir l’article 16 TFUE comme seule base juridique de l’acte de conclusion de l’accord envisagé altérerait le statut du Royaume de Danemark, de l’Irlande et du Royaume-Uni de Grande-Bretagne et d’Irlande du Nord, ces États membres étant alors directement et automatiquement liés par l’accord, contrairement à ce qui est prévu à l’article 29 de l’accord envisagé. S’agissant en particulier du Royaume de Danemark, tout engagement international qu’il aurait éventuellement conclu avec le Canada, parallèlement à l’accord envisagé, serait alors illégal, puisque cet État membre ne disposerait plus de la compétence nécessaire pour stipuler un tel engagement.
52. Il me semble donc que, toute proportion gardée, par analogie avec ce que la Cour a retenu au point 47 de l’avis 1/13, du 14 octobre 2014 (EU:C:2014:2303), il est particulièrement approprié que la Cour réponde à la seconde question de la présente demande d’avis afin, notamment, d’éviter les complications juridiques qui seraient susceptibles d’être engendrées par les situations dans lesquelles un État membre souscrirait des engagements internationaux sans l’habilitation requise, alors que, au regard du droit de l’Union, il ne disposerait plus de la compétence nécessaire pour souscrire ou mettre en œuvre un tel engagement.
53. Je propose donc que la Cour déclare recevable la seconde question posée par le Parlement dans sa demande d’avis.
54. Par ailleurs, cette question touchant la validité formelle de l’acte de conclusion et nécessitant d’analyser les objectifs et le contenu de l’accord envisagé, je suggère de la traiter avant celle relative à la compatibilité de ce dernier avec les dispositions du traité FUE et des droits consacrés par la Charte.
VI – Sur la base juridique appropriée de l’acte de conclusion de l’accord envisagé (seconde question)
A – Synthèse de l’argumentation du Parlement et des autres parties intéressées
55. Le Parlement ainsi que toutes les parties intéressées ayant déposé des observations sont d’accord pour considérer que, conformément à la jurisprudence de la Cour, le choix de la base juridique doit se fonder sur des critères objectifs susceptibles d’un contrôle juridictionnel, critères objectifs parmi lesquels figurent la finalité et le contenu de l’acte en cause.
56. Le Parlement souligne que l’accord envisagé poursuit deux finalités qui sont énumérées à l’article 1er de celui-ci. Toutefois, la finalité principale de l’accord envisagé serait celle d’assurer la protection des données à caractère personnel. En effet, selon le Parlement, l’accord envisagé aurait un effet analogue à une « décision d’adéquation » et son but serait de remplacer la décision 2006/253 de la Commission, adoptée au titre de l’article 25, paragraphe 6, de la directive 95/46, dans laquelle cette institution a constaté, dans le contexte de l’accord de 2006, le niveau de protection adéquat des données PNR transférées à l’ASFC. En outre, l’accord envisagé ne viserait pas à créer une obligation pour les transporteurs aériens de transférer des données PNR aux autorités policières canadiennes ou européennes, ce qui rendrait difficile de justifier le choix de l’article 82, paragraphe 1, sous d), et de l’article 87, paragraphe 2, sous a), TFUE comme bases juridiques matérielles. En vertu de la jurisprudence, ces constatations justifieraient, de l’avis du Parlement, que l’accord envisagé soit fondé sur la base juridique correspondant à la finalité principale de l’accord envisagé, à savoir, en l’occurrence, l’article 16 TFUE. Le contenu de l’accord envisagé confirmerait cette appréciation. Le Parlement précise enfin que l’article 16 TFUE permet l’adoption de règles relatives à la protection des données à caractère personnel dans tous les champs d’application du droit de l’Union, y compris celle relevant de « l’[ELSJ] ».
57. En réponse à une question posée lors de l’audience devant la Cour, le Parlement a indiqué, dans l’hypothèse où la Cour devait considérer que l’accord envisagé poursuit des finalités indissociables, qu’il ne voyait aucune objection à ce que l’acte de conclusion de l’accord envisagé soit fondé sur l’article 16, l’article 82, paragraphe 1, sous d), et l’article 87, paragraphe 2, sous a), TFUE.
58. Exception faite du gouvernement espagnol et du CEPD ainsi que, à titre subsidiaire, du gouvernement français, les autres parties intéressées soutiennent que la finalité de l’accord envisagé serait celle de lutter contre le terrorisme et la criminalité transnationale grave, la protection des données ne constituant, en substance, qu’un instrument au moyen duquel cette finalité pourrait être atteinte. À cet égard, la Commission rappelle que, dans l’arrêt du 30 mai 2006, Parlement/Conseil et Commission (C‑317/04 et C‑318/04, EU:C:2006:346, point 56), la Cour a jugé que le transfert de données PNR vers les États-Unis constituait un traitement ayant pour objet la sécurité publique et les activités des États membres relatives à des domaines du droit pénal. Or, le choix de la base juridique de l’acte de conclusion de l’accord envisagé devrait être fait en respectant cette logique.
59. La grande majorité de ces parties intéressées ajoute que, si la protection des données devait être considérée comme constituant un objectif de l’accord envisagé, cet objectif ne serait qu’accessoire par rapport à la finalité principale, ce qui, partant, n’emporterait aucune conséquence sur le choix actuel de la base juridique de l’acte de conclusion. À cet égard, le Conseil et la Commission précisent que des actes ayant pour finalité la réalisation des politiques sectorielles requérant certains traitements de données à caractère personnel devraient être fondés sur la base juridique correspondant à la politique concernée et non pas sur l’article 16 TFUE.
60. Quant à la possibilité de cumuler l’article 16, l’article 82, paragraphe 1, sous d), et l’article 87, paragraphe 2, sous a), TFUE comme bases juridiques matérielles de l’acte de conclusion de l’accord envisagé, le gouvernement français soutient, à titre subsidiaire, dans ses observations écrites, qu’un tel cumul est tout à fait envisageable. En revanche, l’Irlande et le Conseil maintiennent le contraire. À l’audience devant la Cour, le Conseil a précisé que la procédure de vote au sein du Conseil, telle qu’elle résulterait des dispositions des protocoles (n° 21) et (n° 22), ferait obstacle à une telle hypothèse.
B – Analyse
61. Selon une jurisprudence constante, le choix de la base juridique d’un acte de l’Union, y compris celui adopté en vue de la conclusion d’un accord international, doit se fonder sur des éléments objectifs susceptibles de contrôle juridictionnel, parmi lesquels figurent la finalité et le contenu de cet acte. Si l’examen d’un acte de l’Union démontre que ce dernier poursuit une double finalité ou qu’il a une double composante et si l’une de celles-ci est identifiable comme étant principale ou prépondérante, tandis que l’autre n’est qu’accessoire, l’acte doit être fondé sur une seule base juridique, à savoir celle exigée par la finalité ou la composante principale ou prépondérante (25).
62. La Cour admet toutefois, « à titre exceptionnel », qu’un acte puisse être fondé, de manière cumulée, sur les différentes bases juridiques correspondantes à la pluralité des objectifs ou des composantes de cet acte lorsque ces objectifs ou ces composantes sont liés de façon indissociable, sans que l’un soit accessoire par rapport à l’autre (26). Dans un tel cas, la Cour vérifie encore si le recours à une pluralité de bases juridiques est susceptible d’être exclu au motif que les procédures visées par les différentes bases juridiques en cause sont incompatibles entre elles (27).
63. C’est à la lumière de cette jurisprudence qu’il importe de déterminer si, au regard de la finalité et du contenu de l’accord envisagé, l’acte de conclusion de cet accord devrait être fondé exclusivement, sur l’article 82, paragraphe 1, sous d), et l’article 87, paragraphe 2, sous a), TFUE, en tant que bases juridiques matérielles, comme l’indique le projet de décision du Conseil et comme le soutient la majorité des parties intéressées ou s’il devrait être basé sur l’article 16 TFUE, que ce soit de manière exclusive ou bien lu en combinaison avec les deux articles précités (28).
64. Sur ce dernier point, je tiens à préciser que, contrairement à ce que le Conseil a exposé dans ses observations écrites, la Cour me paraît parfaitement habilitée, eu égard à la nature non contentieuse et préventive de la procédure de l’avis, à examiner la seconde question adressée par le Parlement sous l’angle du cumul de bases juridiques matérielles, bien que le libellé de cette question ne l’envisage pas. J’ajoute que les parties intéressées ont eu l’occasion, tant dans la phase écrite de la procédure que lors de l’audience, de prendre position sur ce point.
65. Cela est d’autant plus important que l’examen de la finalité et du contenu de l’accord envisagé doit, à mon sens, conduire à retenir que ce dernier poursuit deux objectifs et possède deux composantes, sans que, globalement, ni ces deux objectifs ni ces différentes composantes puissent être hiérarchisées et dissociées. Ce constat justifie à mes yeux que l’acte de conclusion de l’accord envisagé prenne pour bases juridiques matérielles l’article 16 et l’article 87, paragraphe 2, sous a), TFUE, ce qui implique que les procédures visées par ces deux articles puissent coexister.
1. Sur la finalité et le contenu de l’accord envisagé
66. Il ressort du deuxième alinéa du préambule de l’accord envisagé que les parties contractantes reconnaissent « l’importance de la prévention, de la répression, de l’élimination du terrorisme et des infractions liées au terrorisme, ainsi que des autres formes graves de criminalité transnationale , et de la lutte contre ces phénomènes, dans le respect des droits et des libertés fondamentaux, notamment des droits au respect de la vie privée et de la protection des données », tandis que le quatrième alinéa ajoute que l’utilisation des données PNR constitue un instrument essentiel en vue de la réalisation de ces objectifs.
67. La poursuite simultanée, d’une part, de l’objectif de lutte contre le terrorisme et d’autres formes graves de criminalité transnationale et, d’autre part, du respect de la vie privée et de la protection des données à caractère personnel est confirmée par les cinquième et sixième alinéas du préambule qui soulignent, respectivement, la volonté des parties contractantes de « préserver la sécurité publique » et la reconnaissance qu’elles « partagent des valeurs communes en ce qui concerne la protection des données et de la vie privée ».
68. De même, il ressort expressément du quinzième alinéa du préambule que le Canada s’est engagé à ce que son autorité compétente traite « les données PNR à des fins de prévention et de détection d’infractions terroristes et de la criminalité transnationale grave, ainsi que des enquêtes et de poursuites en la matière, en se conformant strictement aux garanties en matière de respect de la vie privée et de protection des données à caractère personnel énoncées dans [l’accord envisagé] ».
69. L’accord envisagé vise donc à permettre au Canada de traiter les données PNR des passagers transmises par les transporteurs aériens effectuant des liaisons entre l’Union et le Canada, aux fins de lutter contre le terrorisme et d’autres formes graves de criminalité transnationale tout en assurant le droit au respect de la vie privée et celui à la protection des données à caractère personnel dans les conditions prescrites par l’accord envisagé lui-même.
70. Cette nécessaire conciliation entre ces deux objectifs est corroborée par l’article 1er de l’accord envisagé qui stipule que les parties contractantes établissent les conditions régissant le transfert et l’utilisation des données PNR « en vue d’assurer la sécurité et la sûreté du public et de prescrire les moyens par lesquels lesdites données sont protégées ».
71. L’examen du contenu de l’accord envisagé confirme aussi que le moyen de lutter contre le terrorisme et d’autres formes graves de criminalité transnationale par le transfert et le traitement de données PNR n’est autorisé que si les données en question bénéficient d’un niveau de protection adéquat.
72. C’est ainsi que, aux termes de l’article 3, paragraphe 1, de l’accord envisagé, le Canada veille à ce que l’autorité canadienne compétente traite les données PNR reçues « uniquement à des fins de prévention, de la détection, des enquêtes ou des poursuites concernant les infractions terroristes ou les formes graves decriminalité transnationale, », tout en soulignant que ce traitement doit être réalisé « conformément au présent accord ». Cette précision signifie notamment que, en application de l’article 5 de l’accord envisagé, « pour autant qu’elle se conforme [à ce dernier], l’autorité canadienne compétente est réputée fournir un niveau de protection adéquat, au sens de la législation de l’Union européenne applicable en matière de protection de données ».
73. De même, dans le contexte de la conservation des données PNR et de la dépersonnalisation progressive par masquage desdites données, prévues à l’article 16 de l’accord envisagé, le paragraphe 4 de cet article n’autorise le démasquage par les autorités canadiennes que dans le cas où, « sur la base des informations disponibles, il est nécessaire de procéder à des enquêtes relevant de l’article 3 » de l’accord envisagé.
74. De surcroît, l’article 18, paragraphe 1, et l’article 19 paragraphe 1, de l’accord envisagé n’autorisent la divulgation ultérieure des données PNR à d’autres autorités publiques canadiennes ou de pays tiers que dans des conditions limitativement énumérées, dont notamment celles selon lesquelles, d’une part, les autorités en question exercent « des fonctions qui sont directement liées au domaine couvert par l’article 3 [de l’accord envisagé] » et, d’autre part, ces mêmes autorités offrent une protection ou appliquent des normes de protection équivalentes aux mesures de garantie prévues dans l’accord envisagé.
75. Sans infirmer la nécessité de concilier les deux objectifs poursuivis, certaines stipulations de l’accord envisagé se rapportent cependant davantage tantôt au but de la lutte contre le terrorisme et la criminalité transnationale grave tantôt à celui de nécessité d’assurer une protection adéquate des données à caractère personnel.
76. Ainsi, concernant spécifiquement le premier objectif, l’article 6, paragraphe 2, de l’accord envisagé oblige le Canada à communiquer, dans des cas particuliers, et à la demande de l’Office européen de police (Europol), de l’Agence européenne pour le renforcement de la coopération judiciaire (Eurojust), dans le cadre de leurs mandats respectifs, ou de l’autorité judiciaire ou de police d’un État membre de l’Union, les données PNR ou les informations analytiques contenant des données PNR obtenues en vertu de l’accord envisagé « à des fins de prévention, de la détection, de la recherche ou des poursuites au sein de l’Union européenne d’une infraction terroriste ou d’un acte grave de criminalité transnationale ». Par ailleurs, en vertu de l’article 23, paragraphe 2, de l’accord envisagé, il est prévu que les parties contractantes coopèrent en vue du rapprochement de leurs régimes respectifs de traitement de données PNR « de manière à accroître la sécurité des citoyens du Canada, de l’Union européenne et d’ailleurs ».
77. Quant aux stipulations relevant davantage des garanties offertes par l’accord envisagé en matière de protection des données, celui-ci prévoit une série de règles relatives à la sécurité et à l’intégrité des données (article 9 de l’accord envisagé), à l’accès, à la correction et à l’annotation des données à la demande des particuliers (articles 12 et 13 de l’accord envisagé) à la surveillance du traitement de données PNR ainsi qu’aux voies de recours administratifs et judiciaires ouvertes aux personnes concernées (articles 10 et 14 de l’accord envisagé).
78. Au vu du but et du contenu de l’accord envisagé, ce dernier poursuit donc deux objectifs et possède deux composantes essentielles, ce que, en définitive, la grande majorité des parties intéressées a admis ou, tout au moins, a concédé.
79. Contrairement à ce que les parties intéressées ont fait valoir à l’appui de thèses opposées, il est bien difficile, selon moi, de déterminer lequel de ces deux objectifs l’emporte sur l’autre.
80. En effet, comme la description du but et du contenu de l’accord envisagé tend à le démontrer, ces deux objectifs doivent être poursuivis simultanément et paraissent, en définitive, indissociables. D’une part, comme je l’ai mis en exergue, le transfert et le traitement de données PNR à l’autorité compétente canadienne pour les fins exposées à l’article 3 de l’accord envisagé ne sont autorisés que si ces opérations s’accompagnent d’une protection adéquate des données, au sens du droit de l’Union en la matière, conformément à l’article 5 de l’accord envisagé. Autrement dit, si une telle protection n’est pas assurée, le transfert de données PNR prévu par l’accord envisagé ne peut être légalement réalisé. D’autre part, les garanties prévues par l’accord envisagé en termes de protection des données à caractère personnel ne sont nécessaires qu’en raison du fait que les données PNR doivent être transférées à l’autorité canadienne compétente en vertu de la législation canadienne et des stipulations de l’accord envisagé. Ainsi que plusieurs dispositions de l’accord envisagé l’illustrent, tels que les articles 16, 18 et 19 de celui-ci, l’accord envisagé vise donc à concilier l’objectif sécuritaire avec l’objectif de protection des droits fondamentaux des individus concernés, tout particulièrement celui de la protection de leurs données à caractère personnel.
81. Tout compte fait, j’estime que ces deux objectifs et ces deux composantes de l’accord envisagé sont liés d’une façon indissociable, sans que l’un soit second et indirect par rapport à l’autre.
82. Cette appréciation ne saurait être infirmée par l’argument de la Commission tiré du point 56 de l’arrêt du 30 mai 2006, Parlement/Conseil et Commission (C‑317/04 et C‑318/04, EU:C:2006:346), aux termes duquel la Cour a jugé que le transfert de données PNR vers les États-Unis constituait un traitement ayant pour objet la sécurité publique et les activités des États membres relatives à des domaines du droit pénal.
83. En effet, tout d’abord, la présente procédure d’avis a pour objet l’accord envisagé avec le Canada et non pas le premier accord conclu avec les États-Unis en 2004 et la décision d’adéquation de la Commission adoptée la même année, sur lesquels portaient les recours en annulation introduits par le Parlement.
84. Ensuite, et plus fondamentalement, la Commission procède à une lecture hors contexte du constat effectué par la Cour dans ce point de l’arrêt du 30 mai 2006, Parlement/Conseil et Commission (C‑317/04 et C‑318/04, EU:C:2006:346), lequel, je le rappelle, a été prononcé bien avant l’adoption du traité de Lisbonne.
85. En effet, la Cour était invitée par le Parlement à déterminer notamment si la Commission était habilitée à adopter une décision d’adéquation, fondée sur l’article 25 de la directive 95/46, relative au niveau de protection adéquat garanti au traitement des données à caractère personnel contenues dans les dossiers PNR transférées aux États-Unis, alors que l’article 3, paragraphe 2, de cette directive exclut expressément de son champ d’application les traitements ayant pour objet, en particulier, la sécurité publique et les activités de l’État relatives à des domaines du droit pénal. La Cour y a logiquement répondu par la négative. En effet, le traitement des données PNR dans le contexte de l’accord avec les États-Unis ne pouvait pas être rattaché à la réalisation d’une prestation de services, mais s’insérait dans le cadre institué par les pouvoirs publics et visant à la sécurité publique, qui ne relevait pas du champ d’application de la directive 95/46 (29).
86. Or, cette appréciation ne signifie nullement que la Cour a définitivement statué sur l’objet des accords PNR, y inclus, aux fins de l’argumentation, celui de l’accord envisagé ou, à plus forte raison, qu’elle aurait définitivement jugé que ces accords ont pour objectif exclusif, principal ou prépondérant la lutte contre le terrorisme et la criminalité transnationale grave, comme l’insinue à tort la Commission.
87. Le constat de la Cour dans l’arrêt du 30 mai 2006, Parlement/Conseil et Commission (C‑317/04 et C‑318/04, EU:C:2006:346), ne signifie évidemment pas non plus que, en statuant sur le champ d’application matériel de la directive 95/46, elle aurait, par la même occasion et de manière anticipée, posé les limites de celui de l’article 16 TFUE.
88. Au soutien de sa thèse selon laquelle l’objectif sécuritaire de l’accord envisagé serait prépondérant et justifierait donc la base juridique choisie, la Commission tente, en outre, de dresser une analogie entre la présente affaire et celle ayant donné lieu à l’arrêt du 6 mai 2014, Commission/Parlement et Conseil (C‑43/12, EU:C:2014:298).
89. Dans cette affaire, qui portait sur la détermination de la base juridique appropriée de la directive 2011/82/UE du Parlement européen et du Conseil, du 25 octobre 2011, facilitant l’échange transfrontalier d’informations concernant les infractions en matière de sécurité routière (30), la Cour a jugé, après avoir établi que l’objectif prépondérant de cet acte consiste en l’amélioration de la sécurité routière (et donc des transports), que le système d’échange d’informations mis en place par ladite directive constitue « l’instrument au moyen duquel celle-ci poursuit [cet] objectif » (31). La directive 2011/82 aurait donc dû être adoptée non pas sur la base de l’article 87, paragraphe 2, TFUE (coopération policière), mais sur celle de l’article 91, paragraphe 1, sous c), TFUE relevant du titre relatif à la politique des transports.
90. Si je suis prêt à admettre qu’il existe une analogie partielle entre les deux situations, celle-ci ne modifie aucunement l’analyse selon laquelle l’accord envisagé vise deux objectifs et possède deux composantes indissociables. Ainsi, que le transfert de données PNR au profit de l’autorité compétente canadienne puisse constituer l’instrument au moyen duquel les parties contractantes poursuivent l’objectif de sécurité publique de l’accord envisagé ne change rien au constat que l’objet de l’accord envisagé, tel qu’il est notamment décrit à l’article 1er dudit accord, est double. Au demeurant, la particularité de l’accord envisagé, qui le distingue précisément de la directive 2011/82, tient à la circonstance que l’efficacité maximale recherchée de l’instrument que constitue le transfert des données PNR en vue d’atteindre les fins énumérées à l’article 3 de l’accord envisagé doit être mise en balance avec les garanties en matière de protection des données à caractère personnel prévues par cet accord et qui participent justement au second objectif poursuivi par ce dernier.
91. Enfin, n’emportent pas non plus la conviction les arguments du Parlement au soutien de sa position selon laquelle le « centre de gravité » de l’accord envisagé se trouverait de manière prépondérante dans les garanties que ses stipulations offrent aux passagers en matière de protection de leurs données PNR, qui justifierait que la décision de conclusion de cet acte soit exclusivement fondée sur l’article 16 TFUE.
92. D’une part, il est inexact de prétendre que l’accord envisagé ne prévoirait aucune obligation dans le chef des compagnies aériennes de transmettre les données PNR à l’autorité canadienne compétente afin que ces données soient traitées selon les fins énumérées à l’article 3 de l’accord envisagé. Il est vrai, comme l’a fait observer le Parlement dans ses observations écrites, que l’article 4, paragraphe 1, de l’accord envisagé précise que l’Union veille uniquement à ce que les transporteurs aériens « ne soient pas empêchés » de transférer les données PNR à l’autorité canadienne compétente. Toutefois, il résulte de l’interprétation combinée de cet article, intitulé « Assurance de la transmission des données PNR », et des articles 5 (32), 20 (33) et 21 (34) de l’accord envisagé, comme le Parlement l’a d’ailleurs admis en réponse à une question écrite posée par la Cour, que les transporteurs aériens sont en droit et en pratique tenus de fournir l’accès aux données PNR de manière systématique à l’autorité canadienne compétente aux fins définies à l’article 3 de l’accord envisagé.
93. D’autre part, l’objet de l’accord envisagé ne saurait principalement être assimilé à une décision d’adéquation, semblable à celle que la Commission avait adoptée sous l’égide de l’accord de 2006 (35). Comme déjà indiqué, tant le but que le contenu de l’accord envisagé démontrent au contraire que ce dernier vise à concilier les deux objectifs qu’il poursuit et que ceux-ci sont liés d’une façon indissociable.
94. Quelle est donc la conséquence de ce constat sur la détermination de la base juridique de l’acte de conclusion de l’accord envisagé ?
2. Sur la base juridique appropriée
95. Comme cela a déjà été mentionné, il est constant que le projet de décision du Conseil visant à conclure l’accord envisagé est fondé sur l’article 82, paragraphe 1, sous d), et l’article 87, paragraphe 2, sous a), TFUE, qui relèvent tous deux du titre V de la troisième partie du traité FUE relatif à l’« [ELSJ] ».
96. Au regard de deux objectifs et des deux composantes indissociables de l’accord envisagé décrits ci-dessus, ces bases juridiques matérielles me paraissent, certes, tout au moins en partie, pertinentes, mais insuffisantes. J’estime en effet qu’il convient et qu’il est possible, eu égard à la jurisprudence, de fonder l’acte de conclusion de l’accord envisagé sur l’article 16, paragraphe 2, premier alinéa, TFUE.
a) Sur la pertinence de l’article 82, paragraphe 1, sous d), et de l’article 87, paragraphe 2, sous a), TFUE
97. Quant au premier point, à savoir la pertinence de l’article 82, paragraphe 1, sous d), et de l’article 87, paragraphe 2, sous a), TFUE, il y a lieu tout d’abord de s’accorder sur le fait que la construction d’un ELSJ nécessite que l’Union puisse exercer sa compétence externe.
98. Hormis l’hypothèse des accords de réadmission, prévue à l’article 79, paragraphe 3, TFUE, relative à la politique d’immigration et non pertinente en l’espèce, l’Union ne s’est pas vu accorder une compétence externe explicite, de nature générale, afférente à l’ELSJ. Toutefois, l’article 216, paragraphe 1, TFUE permet à l’Union de conclure des accords internationaux, y compris dans le champ de la coopération policière et/ou judiciaire en matière pénale, en particulier lorsque cela est nécessaire pour réaliser l’un des objectifs visés par les traités.
99. Aucune des parties intéressées ne remet en cause cette possibilité. La Cour ne saurait cependant se limiter à ce constat, selon moi. J’estime que la Cour devrait consacrer quelques développements à cette question dans l’avis qu’elle est appelée à rendre.
100. Admettre la compétence externe de l’Union dans le domaine de l’ELSJ requiert que l’on puisse ancrer l’exercice de cette compétence dans le domaine de la coopération policière et judiciaire en matière pénale aux objectifs poursuivis par l’ELSJ.
101. Ces objectifs sont énoncés à l’article 3, paragraphe 2, TUE et à l’article 67 TFUE. La première de ces dispositions énonce que « l’Union offre à ses citoyens un [ELSJ] sans frontières intérieures, au sein duquel est assurée la libre circulation des personnes, en liaison avec des mesures appropriées [...] en matière de contrôle des frontières extérieures [...] ainsi que de prévention de la criminalité et de lutte contre ce phénomène ». L’article 67 TFUE, qui ouvre le chapitre 1 du titre V de la troisième partie du traité FUE, prévoit, à son paragraphe 3, que l’Union « œuvre pour assurer un niveau élevé de sécurité par des mesures de prévention de la criminalité, du racisme et de la xénophobie, ainsi que de lutte contre ceux-ci, par des mesures de coordination et de coopération entre autorités policières et judiciaires et autres autorités compétentes ».
102. Comme l’a défendu à juste titre l’avocat général Bot dans ses conclusions du 30 janvier 2014 dans l’affaire Parlement/Conseil (C‑658/11, EU:C:2014:41, points 111 et 112), la dimension externe de l’ELSJ est fonctionnelle et instrumentale au regard des objectifs exprimés par ces deux dispositions. Il s’ensuit que, si la construction de l’ELSJ peut nécessiter une action extérieure de la part de l’Union, il faut, pour qu’un accord puisse être considéré comme relevant de l’ELSJ, qu’il présente un lien étroit avec la liberté, la sécurité et la justice au sein de l’Union, c’est-à-dire un lien direct entre la finalité de sécurité intérieure de l’Union et la coopération policière et/ou judiciaire qui est développée à l’extérieur de l’Union (36).
103. Dans un autre contexte mais dans le même sens, la Cour, interprétant l’article 87, paragraphe 2, TFUE à la lumière de l’article 67 TFUE, a précisé que, pour qu’un acte de l’Union puisse, au regard de sa finalité et de son contenu, être fondé sur le premier de ces articles, cet acte doit être rattaché directement aux objectifs énoncés à l’article 67 TFUE (37).
104. Tel est bien le cas, selon moi, de l’accord envisagé.
105. En effet, en premier lieu, cet accord s’applique au transfert, au traitement et à l’utilisation de données PNR ayant pour finalité la sécurité publique et les activités de l’État relatives à des domaines du droit pénal (38), c’est-à-dire plus particulièrement la prévention et la détection d’infractions terroristes et de la criminalité transnationale grave, y compris les enquêtes et les poursuites y afférant. Selon l’article 1er de l’accord envisagé, celui-ci vise notamment à « assurer la sécurité et la sûreté du public », ce qui implique bien évidemment celles des citoyens de l’Union, en particulier ceux empruntant les liaisons aériennes entre le Canada et l’Union européenne (39). Par ailleurs, l’article 6, paragraphe 2, de l’accord envisagé oblige le Canada, sur demande notamment de l’autorité de police et judiciaire d’un État membre de l’Union, à communiquer, dans des cas particuliers, les données PNR ou les informations analytiques contenant de telles données obtenues en vertu de l’accord envisagé à des fins de prévention ou de détection d’une infraction terroriste ou d’un acte grave de criminalité transnationale, « au sein de l’Union européenne ».
106. En second lieu, bien que la collecte et le transfert initial des données PNR soient réalisés par les transporteurs aériens, les stipulations de l’accord envisagé constituent un cadre juridique institué par les pouvoirs publics à des fins répressives (40). Comme déjà mentionné, l’accord envisagé instaure ainsi des règles relatives à l’accès aux données PNR et/ou aux informations analytiques contenant de telles données par les autorités compétentes canadiennes ainsi que la transmission ultérieure de telles données notamment aux autorités policières et judiciaires compétentes de l’Union et de ses États membres ainsi que celles de pays tiers, en particulier aux fins énumérées à l’article 3 de l’accord envisagé. Par ailleurs, comme cela est clairement ressorti des débats devant la Cour, la durée de conservation de cinq ans des données PNR, prévue à l’article 16, paragraphes 1 et 5, de l’accord envisagé, a été fixée dans l’optique de permettre et de faciliter les enquêtes, les poursuites et les procédures judiciaires relatives, en particulier, aux réseaux internationaux d’activités criminelles graves. Or, à la lumière du libellé très ouvert de l’article 16, paragraphe 5, de l’accord envisagé, ces enquêtes et poursuites peuvent tout à fait inclure celles menées par les autorités policières et judiciaires des États membres de l’Union. De telles règles relèvent, en principe, du domaine couvert par la coopération policière et judiciaire en matière pénale (41).
107. J’en conclus, d’une part, que, en ce qu’il vise les mesures que peuvent établir le Parlement et le Conseil portant sur « la collecte, le stockage, le traitement, l’analyse et l’échange d’informations pertinentes » aux fins de la coopération policière « dans les domaines de la prévention et de la détection des infractions pénales et des enquêtes en la matière » prévue à l’article 87, paragraphe 1, TFUE, l’article 87, paragraphe 2, sous a), TFUE constitue une base juridique appropriée de l’acte de conclusion de l’accord envisagé. J’ajoute, à toutes fins utiles, que cette coopération et ces échanges n’ont pas nécessairement besoin d’être réalisés entre des autorités qui sont spécifiquement qualifiées, en droit national, de services de police stricto sensu. En effet, l’article 87, paragraphe 1, TFUE associe à la coopération policière, de manière particulièrement large, « toutes les autorités compétentes des États membres, y compris les services de police, les services de douanes [...] et autres services répressifs » (42), expression qui autorise parfaitement, dans le contexte de la dimension externe de l’ELSJ, la coopération avec l’ASFC dans le but de garantir la sécurité intérieure de l’Union.
108. S’agissant, d’autre part, de l’aspect « coopération judiciaire en matière pénale » de l’accord envisagé, malgré les éléments mis en exergue aux points 105 et 106 des présentes conclusions, j’avoue avoir quelques hésitations à considérer que l’accord envisagé puisse constituer une mesure qui contribue directement à « faciliter la coopération entre les autorités judiciaires ou équivalentes des États membres dans le cadre des poursuites pénales et de l’exécution des décisions », au sens de l’article 82, paragraphe 1, sous d), TFUE. Comme l’a notamment admis le gouvernement du Royaume-Uni dans sa réponse à l’une des questions écrites posées par la Cour, ce n’est que dans certains cas que l’accord envisagé pourrait faciliter une telle coopération entre les autorités judiciaires des États membres. Une telle coopération dépend toutefois d’un certain nombre de paramètres, tant factuels que juridiques, qui échappent aux stipulations de l’accord envisagé. La coopération entre les autorités judiciaires des États membres paraît donc n’être qu’une conséquence indirecte du cadre institué par l’accord envisagé. Certes, le fait que l’article 6 de l’accord envisagé fasse non pas uniquement obligation à l’autorité canadienne compétente mais plus généralement « au Canada » de transmettre des données PNR ou des informations analytiques à des autorités judiciaires des États membres peut être compris comme imposant également une telle obligation aux autorités judiciaires de cet État tiers. À supposer que cette interprétation soit correcte et qu’un échange de données PNR entre les autorités judiciaires soit envisageable, il n’en demeure pas moins que, au stade actuel de sa rédaction, l’accord envisagé ne paraît pas véritablement contribuer à faciliter la coopération entre les autorités judiciaires ou équivalentes des États membres. À mon sens, ce n’est que si la Cour adoptait une interprétation plus généreuse de l’article 82, paragraphe 1, sous d), TFUE, le cas échéant, lu en combinaison avec l’article 67, paragraphe 3, TFUE selon lequel l’Union « œuvre pour assurer un niveau élevé de sécurité [...] par des mesures de coordination et de coopération entre autorités [...] judiciaires et autres autorités compétentes » ou si les parties contractantes amendaient les stipulations de l’accord envisagé dans le sens d’une prise en compte plus directe de la dimension judiciaire de l’accord envisagé que l’article 82, paragraphe 1, sous d), TFUE pourrait valablement constituer une base juridique additionnelle de l’acte de conclusion dudit accord.
109. J’ajoute que l’appréciation selon laquelle l’article 82, paragraphe 1, sous d), TFUE ne saurait valablement fonder l’acte de conclusion de l’accord envisagé n’est pas infirmée par la circonstance, mentionnée par certaines parties intéressées, selon laquelle les décisions du Conseil portant respectivement conclusion des accords PNR avec l’Australie et les États-Unis sont fondées sur cette disposition, lue en combinaison avec l’article 87, paragraphe 2, sous a), TFUE (43). En effet, il est de jurisprudence constante qu’est sans pertinence, aux fins du contrôle de la base juridique de l’acte portant conclusion de l’accord envisagé en l’espèce, la base juridique qui a été retenue pour l’adoption d’autres actes de l’Union présentant, le cas échéant, des caractéristiques similaires (44).
110. Dans ces conditions, au stade actuel de la rédaction de l’accord envisagé, je suis d’avis que l’article 87, paragraphe 2, sous a), TFUE constitue une base juridique appropriée de l’acte de conclusion de l’accord envisagé.
111. Cela étant, cette base juridique matérielle, valablement indiquée dans le projet d’acte de conclusion de l’accord envisagé, me paraît être insuffisante pour permettre à l’Union de conclure ce dernier.
b) Sur la nécessité de fonder l’acte de conclusion de l’accord envisagé sur l’article 16, paragraphe 2, premier alinéa, TFUE
112. En effet, ainsi que le Parlement l’a soutenu à juste titre dans sa demande, l’article 87, paragraphe 2, sous a), TFUE, pas plus d’ailleurs, de manière générale, le titre V de la troisième partie du traité FUE relatif à l’ELSJ, ne prévoit l’adoption de règles dans le domaine de la protection des données à caractère personnel.
113. Or, comme je l’ai démontré précédemment, l’un des deux objectifs essentiels de l’accord envisagé, comme l’indique son article 1er, est précisément de « prescrire les moyens par lesquels les données » PNR des passagers empruntant les liaisons aériennes entre le Canada et l’Union européenne « sont protégées ». Comme déjà mis en relief, le contenu de l’accord envisagé corrobore cet objectif, en particulier les stipulations figurant dans le chapitre relatif aux « garanties applicables au traitement des données PNR », qui regroupe les articles 7 à 21 de l’accord envisagé.
114. Dans ce contexte, l’action de l’Union doit nécessairement être fondée, selon moi, sur l’article 16, paragraphe 2, premier alinéa, TFUE qui, je le rappelle, attribue au Parlement et au Conseil le soin de fixer les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel notamment par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation des données. Trois raisons principales motivent cette approche.
115. Tout d’abord, à l’instar du raisonnement développé ci-dessus à propos de la dimension externe de l’ELSJ, l’Union doit être considérée, conformément à l’article 216, paragraphe 1, TFUE, comme étant habilitée à conclure un accord international avec un pays tiers dont l’objet vise la fixation de règles relatives à la protection des données à caractère personnel lorsque cela est nécessaire pour réaliser l’un des objectifs visés par les traités, en l’occurrence ceux de l’article 16 TFUE. Tel est le cas de l’accord envisagé dont l’une des finalités essentielles consiste, en substance, à prescrire les moyens d’assurer la protection des données PNR des passagers empruntant les liaisons aériennes entre le Canada et l’Union européenne. Par ailleurs, il ne fait aucun doute selon moi que les stipulations de l’accord envisagé doivent être qualifiées de « règles » relatives à la protection des données de personnes physiques, au sens de l’article 16, paragraphe 2, premier alinéa, TFUE, dont le but est de lier les parties contractantes.
116. Ensuite, et contrairement à ce qui était le cas pour l’ancien article 286 CE, l’article 16, paragraphe 2, premier alinéa, TFUE, qui s’insère dans le titre II de la première partie de ce traité, intitulé « Dispositions d’application générale », a vocation à constituer la base juridique de toutes les règles adoptées au niveau de l’Union relatives à la protection des personnes physiques à l’égard du traitement de leurs données personnelles, y inclus celles s’insérant dans le cadre de l’adoption de mesures relevant des dispositions du traité FUE relatives à la coopération policière et judiciaire en matière pénale. En effet, comme le spécifie le second alinéa de ce même article, seules les règles afférentes à la protection des données à caractère personnel adoptées dans le contexte de la politique étrangère et de sécurité commune doivent être basées sur l’article 39 TUE. Cette interprétation de l’article 16, paragraphe 2, premier alinéa, TFUE est, d’une part, confirmée par l’omission de toute référence à l’éventuelle adoption de dispositions relatives à la protection des données à caractère personnel sur le fondement de l’article 87, paragraphe 2, sous a), TFUE. Or, il convient de rappeler que, avant l’entrée en vigueur du traité de Lisbonne, l’article 30, paragraphe 1, sous b), TUE prévoyait, au contraire, qu’une action commune dans le domaine de la coopération policière pouvait couvrir, entre autres, le traitement, l’analyse et l’échange d’informations pertinentes « sous réserve des dispositions appropriées relatives à la protection des données à caractère personnel », libellé qui a d’ailleurs habilité le Conseil à adopter la décision-cadre 2008/977/JAI, du 27 novembre 2008, relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (45). D’autre part, comme j’y reviendrai par la suite, il importe de souligner que les dispositions des protocoles (n° 21) et (n° 22) ont bien prévu l’hypothèse selon laquelle des règles fondées sur l’article 16, paragraphe 2, premier alinéa, TFUE puissent être adoptées dans le cadre de l’exercice d’activités qui relèvent des chapitres du traité FUE relatifs à la coopération policière et judiciaire en matière pénale.
117. Il s’ensuit, et pour dissiper tout doute eu égard à l’ambiguïté de la position défendue par la Commission dans ses observations écrites, que l’article 16 TFUE, d’une part, et l’article 87, paragraphe 2, sous a), ainsi que l’article 82, paragraphe 1, sous d), TFUE, d’autre part, ne sauraient entretenir des rapports de type hiérarchique « lex generalis – lex specialis ». En effet, comme l’illustrent notamment les protocoles précités, les Hautes Parties Contractantes ont envisagé l’éventualité qu’un acte de l’Union puisse être fondé concurremment sur ces trois articles, précisément en raison du fait que ces dispositions possèdent des champs d’application distincts.
118. Enfin, ainsi que l’ont notamment soutenu le Parlement, la Commission et le CEDP dans leurs réponses respectives à une question écrite posée par la Cour, la pertinence de l’article 16 TFUE en tant que base juridique de l’acte de conclusion de l’accord envisagé ne saurait être mise en doute du fait que les mesures de protection que cet article permet d’adopter se rapportent au traitement de données par des autorités des États membres et non pas, comme en l’occurrence, au transfert de données collectées préalablement par des entités privées (les transporteurs aériens) à destination d’un pays tiers.
119. En effet, d’une part, pour paraphraser l’avocat général Léger, l’obligation à laquelle est tenue une compagnie aérienne en vertu de la lecture combinée des articles 4, 5, 20 et 21 de l’accord envisagé, de transférer directement une série de données PNR au Canada, n’est pas « fondamentalement éloigné[e] d’un échange direct de données entre autorités publiques » (46). D’autre part, la Cour ayant confirmé que relève de la définition de « traitement de données », au sens de la directive 95/46, le transfert de données à caractère personnel par un opérateur privé depuis un État membre vers un pays tiers (47), interpréter de manière strictement littérale la nouvelle base juridique que constitue l’article 16, paragraphe 2, premier alinéa, TFUE reviendrait à fractionner le régime de protection des données à caractère personnel. Une telle interprétation paraît être en contradiction avec l’intention des Hautes Parties Contractantes de créer une base juridique, en principe, unique habilitant expressément l’Union à adopter des règles relatives à la protection des données à caractère personnel des personnes physiques. Il s’agirait donc d’un recul difficilement explicable par rapport au régime précédent fondé sur les dispositions du traité relatives au marché intérieur. Cette interprétation strictement littérale de l’article 16 TFUE aurait ainsi pour conséquence de priver cette disposition d’une grande partie de son effet utile.
120. Par conséquent, au vu des objectifs et des composantes de l’accord envisagé, qui sont liés de façon indissociable, l’acte de conclusion de cet accord doit, à mon sens, être fondé sur l’article 16, paragraphe 2, premier alinéa, TFUE et l’article 87, paragraphe 2, sous a), TFUE en tant que bases juridiques matérielles.
121. Conformément à la jurisprudence, retenir une pluralité de bases juridiques pour l’adoption d’un acte de l’Union requiert que les procédures visées par les différentes bases juridiques en cause soient compatibles (48).
122. En l’occurrence, tant l’article 16, paragraphe 2, premier alinéa, TFUE que l’article 87, paragraphe 2, sous a), TFUE prévoient que, pour adopter les mesures envisagées par ces deux articles, le Parlement et le Conseil statuent conformément à la procédure législative ordinaire. De surcroît, il en va de même pour les mesures fondées sur l’article 82, paragraphe 1, sous d), TFUE si la Cour devait considérer cet article comme constituant une base juridique matérielle appropriée de l’acte de conclusion de l’accord envisagé.
123. Partant, les procédures spécifiquement visées par ces articles sont compatibles, au sens de la jurisprudence. Elles ne s’opposent donc pas à ce que la Cour retienne une pluralité de bases juridiques de l’acte de conclusion de l’accord envisagé.
124. Le Conseil, soutenu par l’Irlande, a cependant fait valoir qu’il importe d’aller au-delà de ce constat en examinant les modalités de participation du Royaume de Danemark, de l’Irlande et du Royaume-Uni au sein du Conseil, telles que prévues respectivement par les dispositions des protocoles (n° 21) et (n° 22). Selon ces parties intéressées, lesdites modalités s’opposeraient à l’application conjointe, en tant que bases juridiques matérielles, de l’article 16 TFUE et de l’article 87, paragraphe 2, sous a), TFUE. Plus précisément, le Conseil a expliqué à l’audience devant la Cour, non sans quelques contradictions et incohérences (49), que les dispositions de ces protocoles distingueraient la question du caractère non contraignant des règles fixées sur la base de l’article 16 TFUE concernant le traitement de données à caractère personnel dans l’exercice d’activités relevant de la coopération policière et judiciaire en matière pénale, de la question de la participation de ces trois États membres au vote au sein du Conseil, lorsque ce dernier est appelé à adopter de telles règles. Il s’ensuivrait que, tandis que ces trois États membres ne participeraient pas à l’adoption des mesures relevant du champ de la coopération policière et judiciaire en matière pénale, sauf dans le cas où l’Irlande et le Royaume-Uni auraient décidé d’exercer leur droit à l’opt-in, ils participeraient toujours à l’adoption des règles qui prendraient pour base juridique l’article 16 TFUE, en dépit du fait que, en vertu des protocoles respectifs, ces mesures ne les lieraient pas.
125. Cette argumentation mérite une certaine attention, même si, en définitive, j’estime qu’il conviendrait de la rejeter.
126. Rappelons que la Cour a déjà jugé que les deux protocoles en cause ne sont pas susceptibles d’avoir une incidence « de quelque nature que ce soit sur la question de la base juridique appropriée » pour l’adoption d’un acte de l’Union (50). Ainsi, en vertu de cette jurisprudence, si, au terme de l’analyse de l’objectif et du contenu de l’accord envisagé et contrairement à ce que j’ai défendu ci-dessus, l’acte de conclusion de cet accord devait être exclusivement fondé sur l’article 16, paragraphe 2, premier alinéa, TFUE, les deux protocoles en question, malgré le libellé de l’article 29 de l’accord envisagé, ne pourraient pas « neutraliser » ce constat. En d’autres termes, les trois États membres en question devraient participer à l’adoption de l’acte de conclusion de l’accord envisagé et être liés par ce dernier.
127. L’application de cette jurisprudence dans l’hypothèse d’une concurrence de deux bases juridiques, qui prévoient la même procédure d’adoption (procédure législative ordinaire et vote à la majorité qualifiée au sein du Conseil), mais qui affecteraient de manière différente la participation, au sein du Conseil, des trois États membres concernés à l’adoption de l’acte en cause, s’avère plus délicate.
128. Dans la mesure où il s’agit ici de déterminer la base juridique appropriée d’un acte précis, à savoir l’acte de conclusion de l’accord envisagé, cette question ne nécessite pas d’être résolue en ce qui concerne l’Irlande et le Royaume-Uni. En effet, il est constant que, conformément à l’article 3 du protocole (n° 21), ces deux États membres ont notifié leur intention d’être liés par l’accord envisagé, de telle sorte qu’ils participeront à l’adoption de l’acte de conclusion de celui-ci. Aucun argument de nature procédurale concernant ces deux États membres ne fait donc obstacle à ce que l’acte de conclusion de l’accord envisagé soit basé conjointement sur l’article 16, paragraphe 2, premier alinéa, et l’article 87, paragraphe 2, sous a), TFUE.
129. Quant à la position du Royaume de Danemark, il convient de rappeler que, conformément à l’article 2 bis du protocole (n° 22), l’article 2 de ce dernier, selon lequel notamment aucune mesure ou aucun accord international adoptés en application de la troisième partie du titre V du traité FUE ne lie le Royaume de Danemark, s’applique également à l’égard des règles fixées sur la base juridique de l’article 16 TFUE qui concernent le traitement des données à caractère personnel par les États membres dans l’exercice d’activités qui relèvent du champ d’application des chapitres 4 ou 5 du titre V de la troisième partie dudit traité, à savoir qui relèvent de la coopération policière et judiciaire en matière pénale.
130. Le Royaume de Danemark ne sera donc pas lié par les stipulations de l’accord envisagé. Toutefois, le Conseil soutient que, en se bornant à renvoyer à l’article 2 du protocole (n° 22) et non pas à son article 1er, qui énonce que le Royaume de Danemark ne participe pas à l’adoption par le Conseil de mesures proposées relevant de la troisième partie du titre V du traité FUE, l’article 2 bis de ce protocole impliquerait, a contrario, que le Royaume de Danemark participerait à l’adoption de l’acte de conclusion de l’accord envisagé si celui-ci devait être fondé sur l’article 16 TFUE.
131. Cette ligne de raisonnement ne me convainc pas ou, tout au moins, n’a pas les conséquences que lui prête le Conseil quant au choix de la base juridique de l’acte de conclusion de l’accord envisagé.
132. En effet, je ne pense pas que les Hautes Parties Contractantes aient eu l’intention de permettre au Royaume de Danemark de ne pas être lié par un acte ayant pour base juridique tant l’article 16 TFUE que l’une des dispositions du traité FUE relatives à la coopération policière et judiciaire en matière pénale, tout en participant à l’adoption de cet acte, avec le risque inhérent que le Royaume de Danemark puisse se joindre à un groupe d’États membres opposés à ce que cet acte soit justement adopté, de sorte à empêcher qu’une majorité qualifiée au sein du Conseil puisse se former. Cela me paraît contraire à l’objet du protocole (n° 22) qui est celui de la recherche d’un équilibre entre la nécessité de ménager la position spécifique du Royaume de Danemark et celle de permettre aux autres États membres (y inclus, le cas échéant, l’Irlande et le Royaume-Uni) de poursuivre leur coopération dans le domaine de l’ELSJ.
133. Il pourrait certes être objecté à cette interprétation que, en vertu du préambule du protocole (n° 22), les Hautes Parties contractantes prennent note de ce que le Royaume de Danemark ne s’opposera pas à ce que les autres États membres poursuivent le développement de leur coopération en ce qui concerne les mesures pour lesquelles cet État membre n’est pas lié. Ainsi, selon cette thèse, bien qu’étant autorisé à participer à l’adoption d’actes relevant de l’article 2 bis dudit protocole qui ne le lient pas, le Royaume de Danemark se serait engagé à ne jamais s’opposer à leur adoption.
134. Si telle devait être l’exacte interprétation des dispositions pertinentes du protocole (n° 22), la conséquence serait que l’acte de conclusion de l’accord envisagé ne pourrait pas être basé sur le cumul de l’article 16 et de l’article 87, paragraphe 2, sous a), TFUE, au motif d’une prétendue incompatibilité des procédures menant à l’adoption de cet acte, pour la simple raison que le Royaume de Danemark participerait purement formellement à l’adoption de cet acte. Il s’ensuivrait que cette participation purement formelle du Royaume de Danemark à l’adoption de l’acte de conclusion de l’accord envisagé « neutraliserait » l’analyse objective de la base juridique de cet acte, analyse qui, je le rappelle, est fondée sur l’examen des finalités et des composantes de cet accord. Cette conséquence se heurterait manifestement à la jurisprudence selon laquelle c’est non pas la procédure qui définit la base juridique d’un acte, mais la base juridique d’un acte qui détermine la procédure à suivre pour adopter ce dernier (51). Cette jurisprudence s’applique, à mon sens, à plus forte raison lorsque la procédure prétendument à suivre impliquerait, au sein du Conseil, une participation purement formelle du Royaume de Danemark à l’adoption d’un acte pour lequel cet État membre ne sera de toute manière pas lié.
135. Au vu de l’ensemble des considérations qui précèdent, je propose à la Cour de répondre à la seconde question adressée par le Parlement en ce sens que l’acte de conclusion de l’accord envisagé, au vu des objectifs et des composantes de cet accord, qui sont liés de façon indissociable, sans que les uns soient accessoires par rapport aux autres, doit être basé sur l’article 16, paragraphe 2, premier alinéa, et l’article 87, paragraphe 2, sous a), TFUE, lus en combinaison avec l’article 218, paragraphe 6, sous a), v), TFUE (52).
VII – Sur la compatibilité de l’accord envisagé avec les dispositions du traité FUE et de la Charte (première question)
A – Synthèse de la demande et des observations du Parlement ainsi que des observations des autres parties intéressées
1. Synthèse de la demande et des observations du Parlement
136. Le Parlement considère que, au vu notamment de la jurisprudence de la Cour, il existe une incertitude juridique quant à la question de savoir si l’accord envisagé est compatible avec l’article 16 TFUE et avec les articles 7, 8 et l’article 52, paragraphe 1, de la Charte.
137. Selon le Parlement, il serait évident que la collecte, le transfert, l’analyse, la conservation et le transfert ultérieur de données PNR prévus par l’accord envisagé constitueraient différents « traitements » et différentes manifestations de l’ingérence dans les droits fondamentaux garantis par les articles 7 et 8 de la Charte. Sous ses différentes manifestations, cette ingérence s’avérerait d’une vaste ampleur et serait particulièrement grave (53).
138. Le Parlement souligne que, conformément à l’article 52, paragraphe 1, de la Charte, une telle ingérence ne pourrait être justifiée que si elle est « prévue par la loi » et s’avère nécessaire et proportionnée à un objectif d’intérêt général reconnu par l’Union.
139. Quant au premier point, le Parlement se demande, en substance, si un accord international constitue une « loi » au sens de cette disposition et s’il peut prévoir des limitations à l’exercice des droits garantis par les articles 7 et 8 de la Charte. Il relève que, selon la jurisprudence de la Cour européenne des droits de l’homme (ci-après la « Cour EDH ») portant sur l’expression « prévue par la loi » figurant à l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 (ci‑après la « CEDH »), toute ingérence devrait avoir une base « en droit interne ». Or, du fait que le traité de Lisbonne a profondément changé l’ordre juridique de l’Union en y introduisant le concept d’« acte législatif », l’expression « prévue par la loi » coïnciderait, en droit de l’Union, avec la notion d’« acte législatif ». Un accord international ne répondrait pas à cette qualification.
140. S’agissant du deuxième point, à savoir la nécessité de l’ingérence, le Parlement estime qu’il incomberait au Conseil et à la Commission de démontrer, sur la base d’éléments objectifs, que la conclusion de l’accord envisagé est effectivement nécessaire au sens de l’article 52, paragraphe 1, de la Charte. Il semblerait que de tels éléments font défaut.
141. Enfin, quant au troisième point, qui concerne la proportionnalité de l’ingérence prévue par l’accord envisagé, le Parlement soutient que le pouvoir d’appréciation du législateur de l’Union s’avérerait réduit de sorte qu’il conviendrait de procéder à un contrôle strict des exigences posées par la Charte, y compris dans le contexte de la conclusion d’un accord international. À cet égard, l’accord envisagé appartiendrait à la catégorie des « dispositifs de surveillance plus généraux », au sens de la jurisprudence de la Cour EDH (54), de sorte que le raisonnement suivi par la Cour dans l’arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), serait également applicable en l’espèce.
142. Premièrement, l’accord envisagé concernerait, de l’avis du Parlement, de manière globale des personnes voyageant vers le Canada sans qu’il existe une relation entre les personnes concernées, leurs données PNR et une menace pour la sécurité publique.
143. Deuxièmement, le Parlement s’interroge sur la question de savoir si l’accord envisagé prévoit des critères objectifs permettant effectivement de délimiter l’accès des autorités canadiennes aux données PNR et leur utilisation ultérieure à des fins de prévention, de détection ou de poursuites pénales concernant des infractions pouvant elles-mêmes être considérées comme suffisamment graves. Or, les critères énumérés dans le projet d’accord seraient vagues. Ainsi, le Parlement relève que l’accord envisagé n’identifierait pas l’« autorité canadienne compétente » ayant accès aux données et l’article 3, paragraphe 2, de l’accord envisagé renverrait à l’égard de l’expression « criminalité grave » à la législation canadienne sans qu’il y ait des limites reconnues par le droit de l’Union et sans que soient précisées les infractions qui sont couvertes par cette expression. De même, l’article 3, paragraphe 5, de l’accord envisagé permettrait le traitement des données PNR par « le Canada » dans des domaines autres que le droit pénal et pourrait permettre le transfert des données PNR par « l’autorité canadienne compétente » à d’autres autorités canadiennes, voire même à des particuliers. Par ailleurs, l’article 16, paragraphe 2, de l’accord envisagé ne préciserait pas le nombre de personnes ayant accès aux données PNR tandis que l’accès des autorités canadiennes à ces données ne serait pas subordonné à un contrôle préalable effectué par une juridiction ou par une autorité administrative indépendante.
144. Troisièmement, le Parlement invite la Cour à constater que la durée de conservation des données PNR de cinq ans, prévue à l’article 16, paragraphe 5, de l’accord envisagé n’est pas justifiée. Cette durée ne serait pas fondée sur des critères objectifs et aucune justification n’aurait été fournie. Cette durée aurait, par ailleurs, été allongée par rapport à celle prévue sous l’égide de l’accord de 2006, sans explication.
145. Quatrièmement, le Parlement avance que l’accord envisagé n’exige pas que les données PNR soient conservées sur le territoire de l’Union. Ainsi, le contrôle du respect des exigences de protection et de sécurité, par une autorité indépendante, explicitement exigé par l’article 8, paragraphe 3, de la Charte et l’article 16, paragraphe 2, TFUE, ne serait pas pleinement garanti. Dans ce contexte, il existerait de sérieux doutes quant à la question de savoir si les mesures à prendre par les autorités canadiennes satisfont aux exigences essentielles de ces articles. En particulier, l’article 10 de l’accord envisagé ne garantirait pas le contrôle par une autorité canadienne indépendante et ne préciserait pas à suffisance de droit les pouvoirs, y compris de contrôle préalable, dont dispose cette autorité afin de vérifier si ceux-ci sont « adéquats » au sens du droit de l’Union.
146. En réponse aux questions écrites adressées par la Cour, le Parlement a notamment précisé que les enseignements découlant de l’arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650), s’appliquent mutatis mutandis à l’appréciation de la compatibilité de l’accord envisagé. Il ajoute que le respect effectif des conditions matérielles et procédurales relatives à l’accès initial aux données à caractère personnel devrait également s’appliquer au transfert ultérieur de ces données et à leur accès par d’autres autorités canadiennes ou celles d’États tiers. Tel ne serait pas le cas des conditions prévues aux articles 18 et 19 de l’accord envisagé. Par ailleurs, de l’avis du Parlement, la rédaction de l’article 14, paragraphe 2, de l’accord envisagé serait ambiguë.
2. Synthèse des observations des autres parties intéressées
147. Quant aux autres parties intéressées, tandis que, en substance, le CEPD, dans ses réponses aux questions écrites adressées par la Cour et ses observations orales, partage les doutes et les préoccupations exprimés par le Parlement, les gouvernements ayant participé à la présente procédure ainsi que le Conseil et la Commission considèrent que l’accord envisagé est compatible avec l’article 16 TFUE et les articles 7, 8 et l’article 52, paragraphe 1, de la Charte. Leurs observations portent substantiellement sur l’ingérence que comportent les règles prévues par l’accord envisagé dans le droit fondamental des personnes à la protection de leurs données à caractère personnel et sur la satisfaction des critères prévus à l’article 52, paragraphe 1, de la Charte (une ingérence « prévue par la loi », dans le but d’atteindre un objectif d’intérêt général reconnu par l’Union et qui est nécessaire et proportionnée pour atteindre ledit objectif).
148. En premier lieu, les gouvernements estonien et français admettent explicitement que les stipulations de l’accord envisagé sont constitutives d’une ingérence dans le droit fondamental à la protection des données à caractère personnel, garanti par l’article 8 de la Charte. Le gouvernement français précise toutefois que l’obligation imposée aux transporteurs aériens de transférer les données PNR ne constituerait pas une telle ingérence, puisqu’elle serait prévue non pas par l’accord envisagé, mais par la législation canadienne. Or, la Cour ne saurait être saisie d’un avis portant sur la compatibilité de la législation d’un État tiers avec les traités. Par ailleurs, ce même gouvernement soutient que les ingérences contenues dans l’accord envisagé sont d’une ampleur moins vaste que celles à l’origine de l’affaire ayant donné lieu à l’arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238). Ainsi, selon le gouvernement français, moins de données seraient transférées et moins de personnes seraient concernées par l’accord envisagé que par la directive en cause dans cet arrêt. De plus, les données PNR ne permettraient pas de tirer de conclusions très précises concernant la vie privée des passagers. Enfin, l’accord envisagé prévoirait, à son article 11, une obligation de transparence de sorte qu’il ne serait pas possible de conclure que la collecte des données PNR et leur utilisation ultérieure sont susceptibles de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante.
149. En deuxième lieu, quant à la question de la source légale d’une telle ingérence, le gouvernement estonien, l’Irlande, les gouvernements français et du Royaume-Uni ainsi que le Conseil et la Commission estiment que cette ingérence répond à la condition d’être « prévue par la loi », au sens de l’article 52, paragraphe 1, de la Charte.
150. En troisième lieu, s’agissant de l’objectif poursuivi par cette ingérence, les gouvernements bulgare, estonien, l’Irlande, les gouvernements espagnol et français ainsi que le Conseil et la Commission font valoir que le transfert et l’utilisation ultérieure des données PNR visent notamment la lutte contre le terrorisme et répondent de ce fait à un objectif d’intérêt général.
151. En quatrième lieu, quant au caractère nécessaire d’une telle ingérence, les gouvernements français et du Royaume-Uni ainsi que le Conseil et la Commission soulignent tout d’abord qu’il existe une demande croissante de pays tiers qui estiment nécessaire le transfert de données PNR à des fins de sécurité publique. La Commission admet qu’il n’existe pas de statistiques précises indiquant la contribution de ces données à la prévention et à la détection de la criminalité et du terrorisme, ainsi qu’aux enquêtes et aux poursuites en la matière. Cependant, l’utilisation indispensable des données PNR serait confirmée par des informations provenant de pays tiers et d’États membres qui les utilisent déjà à des fins répressives. L’expérience acquise dans ces pays montrerait que l’utilisation de données PNR a notamment fait sensiblement progresser la lutte contre le trafic de drogue, la traite des êtres humains et le terrorisme et permet de mieux comprendre la composition et le fonctionnement des réseaux terroristes et des autres réseaux criminels. Le gouvernement du Royaume-Uni et la Commission ajoutent que les informations fournies par l’ASFC démontrent que les données PNR auraient contribué de manière décisive au repérage et à l’identification de suspects potentiels d’actes de terrorisme ou de criminalité transnationale grave.
152. En cinquième lieu, quant au caractère proportionné de l’ingérence en cause, le gouvernement estonien, le Conseil et la Commission rappellent, premièrement, les exigences découlant de la jurisprudence de la Cour, notamment celles indiquées dans l’arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238). En particulier, le gouvernement estonien est d’avis que les enseignements de cet arrêt quant à l’étendue du pouvoir d’appréciation du législateur et du contrôle juridictionnel des limites de ce pouvoir sont applicables en l’espèce. En revanche, l’Irlande fait valoir qu’il faut tenir compte du caractère international et négocié de l’acte en cause, tandis que le gouvernement français soutient que le pouvoir d’appréciation du législateur de l’Union ne saurait être excessivement limité eu égard au fait que l’ingérence en cause en l’espèce n’est pas particulièrement grave. Le gouvernement du Royaume-Uni estime que la sécurité et la sûreté publiques soulèveraient, de par leur nature, des questions pour lesquelles il conviendrait de reconnaître au législateur une « marge discrétionnaire raisonnable » afin de déterminer si une mesure est manifestement inappropriée. L’accord envisagé ne saurait être qualifié de « dispositif de surveillance général », mais se rattacherait davantage aux procédures habituelles de contrôle aux frontières.
153. Deuxièmement, les gouvernements bulgare, estonien, l’Irlande, les gouvernements espagnol, français et du Royaume-Uni ainsi que le Conseil et la Commission soutiennent aussi que l’accord envisagé respecte le principe de proportionnalité. Le gouvernement du Royaume-Uni fait d’abord valoir que, en l’absence de l’accord envisagé, les mesures à l’égard des passagers en provenance de l’Union risquent d’être moins ciblées et plus intrusives. Les données PNR permettraient de cibler plus effectivement et efficacement les « personnes d’intérêt » voyageant à destination d’événements ou de lieux précis, permettant ainsi de réduire les contrôles de sécurité et les temps d’attente pour les autres passagers. Ensuite, ces gouvernements et ces institutions sont, en substance, d’avis que l’accord envisagé se distingue de la directive à l’origine de l’affaire Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238). En particulier, à la différence de ladite directive, l’accord envisagé contiendrait des règles strictes portant sur les conditions d’accès et d’utilisation des données ainsi que des règles relatives à la sécurité des données et au contrôle par une autorité indépendante. De plus, l’accord envisagé prévoirait une surveillance du respect de ces règles, l’information des personnes concernées quant au transfert et au traitement de leurs données, une procédure d’accès et de rectification des données ainsi que des voies de recours administratifs et judiciaires en vue d’assurer la garantie de ces droits.
154. En ce qui concerne l’argument du Parlement selon lequel l’accord envisagé ne requiert aucune relation entre les données PNR et une menace pour la sécurité publique, les gouvernements estonien, français et du Royaume-Uni ainsi que la Commission avancent, en substance, que l’utilisation des données PNR vise à identifier des personnes jusque-là inconnues des services compétents comme présentant un risque éventuel pour la sécurité, les personnes connues à cet égard pouvant être identifiées sur la base des informations préalables sur les voyageurs (IPV). L’objectif de prévention ne pourrait ainsi pas être atteint si seules les données PNR de personnes suspectes déjà signalées étaient transmises.
155. Troisièmement, selon ces parties intéressées, les critiques adressées par le Parlement et par le CEPD quant à la rédaction et aux omissions de l’accord envisagé devraient aussi être rejetées.
156. C’est ainsi que, selon le Conseil et la Commission, le fait que l’article 3, paragraphe 3, de l’accord envisagé renvoie au droit canadien ne permet pas de conclure qu’il est trop vague. Il serait difficile de faire figurer dans un accord international une définition d’un acte relevant de la qualification de « criminalité grave » qui soit exclusivement prévue par le droit de l’Union. De même, s’agissant de l’article 3, paragraphe 5, sous b), de l’accord envisagé, ces institutions font observer que cette disposition reflète l’obligation imposée par la Constitution canadienne à toutes les autorités publiques canadiennes de se conformer à un ordre judiciaire. En outre, l’éventuelle possibilité d’accès aux données PNR aurait, dans un tel cas, été examinée par l’autorité judiciaire au regard des critères de nécessité et de proportionnalité et serait motivée dans l’ordonnance du juge.
157. De plus, quant aux limites concernant les autorités et les personnes ayant accès aux données PNR, le Conseil et la Commission considèrent que l’absence d’identification de l’autorité canadienne compétente dans l’accord envisagé est une question de nature procédurale qui n’a pas d’incidence sur le principe de proportionnalité. En tout état de cause, l’autorité canadienne compétente, au sens de l’article 2, sous d), de l’accord envisagé, aurait été notifiée à la Commission au mois de juin 2014. Il s’agirait de l’ASFC qui serait seule autorisée à recevoir et à traiter des données PNR. Le « nombre restreint de fonctionnaires spécialement habilités à cet effet », visé à l’article 16, paragraphe 2, de l’accord envisagé signifierait qu’il doit s’agir de fonctionnaires de l’ASFC et que ceux-ci doivent être habilités à traiter les données PNR. Des garanties additionnelles figureraient à l’article 9, paragraphe 2, sous a) et b), et paragraphes 4 et 5, de l’accord envisagé.
158. Par ailleurs, concernant l’absence de contrôle préalable à l’accès aux données PNR, la Commission relève que l’objet même de l’accord envisagé serait de permettre le transfert de données PNR à l’ASFC aux fins de l’accès à ces données de sorte qu’un tel contrôle préalable changerait cet objet. L’Irlande ajoute qu’un tel contrôle préalable ne s’impose pas, puisque l’accord envisagé prévoit de limiter au strict nécessaire le nombre de personnes disposant de l’autorisation d’accéder aux données en cause et de les utiliser et assure un éventail de garanties supplémentaires à ses articles 11 à 14, 16, 18 et 20.
159. De surcroît, quant à la question de la conservation des données PNR, l’Irlande d’abord fait observer que, eu égard au fait que, conformément à l’article 5 de l’accord envisagé, l’autorité compétente canadienne est réputée fournir un niveau de protection adéquat des données PNR, et qu’il existerait une surveillance par une autorité indépendante, il ne serait pas nécessaire, à la différence de la situation régissant la directive à l’origine de l’arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), que les données soient conservées sur le territoire de l’Union. Ensuite, selon le Conseil et la Commission, la durée de conservation de cinq ans prévue à l’article 16 de l’accord envisagé n’irait pas au-delà de ce qui est strictement nécessaire au regard de l’objectif de sécurité publique poursuivi et ne saurait, dès lors, être appréciée dans l’abstrait. La durée de trois ans et demi, prévue par l’accord de 2006, aurait significativement empêché les autorités canadiennes d’utiliser de manière effective des données PNR pour détecter des cas présentant un risque élevé de terrorisme ou de crime organisé eu égard au fait que des investigations y relatives requéraient du temps. Par ailleurs, selon le Conseil, la durée de conservation des données PNR aurait été fixée en tenant compte de la durée moyenne des enquêtes pénales, la durée de vie moyenne des réseaux de grande criminalité et du fait que les cellules terroristes peuvent devenir dormantes pendant un certain nombre d’années. Le gouvernement estonien, l’Irlande et le gouvernement français ajoutent que, étant donnée la nature complexe et difficile des enquêtes portant sur des faits de terrorisme et de criminalité transnationale grave, la période qui s’écoule entre le voyage et le moment où les autorités répressives ont besoin d’accéder aux données PNR afin de détecter, de rechercher et de poursuivre de tels crimes peut parfois être distante de plusieurs années. Dans leurs réponses respectives aux questions écrites posées par la Cour, les gouvernements espagnol et français fournissent aussi une série d’exemples concrets dans lesquels le processus de vérification et de recoupement d’informations s’inscrit dans une durée d’environ cinq ans et pour lesquels les données PNR ont été ou auraient pu être d’une grande utilité. Le gouvernement estonien, l’Irlande, le gouvernement français ainsi que le Conseil et la Commission soulignent aussi, en substance, que l’article 16 de l’accord envisagé comporte des modalités strictes quant au masquage (ou à la dépersonnalisation) et au démasquage des données qui visent à protéger davantage les données à caractère personnel des passagers aériens.
160. Enfin, s’agissant du contrôle du respect des règles de protection des données par une autorité indépendante, exigé par l’article 8, paragraphe 3, de la Charte et l’article 16, paragraphe 2, TFUE, le Conseil et la Commission estiment que le fait que l’accord envisagé n’identifierait pas l’autorité canadienne compétente ne mettrait pas en cause le caractère adéquat des mesures à prendre par le Canada. L’identité des autorités compétentes au titre des articles 10 et 14 de l’accord envisagé aurait été communiquée à la Commission. Il s’agirait du Commissaire canadien à la protection de la vie privée et de la Direction des recours de l’ASFC. Ces autorités satisferaient à la condition d’indépendance leur permettant d’exercer leurs missions sans être soumises à une influence extérieure, quand bien même la Direction des recours de l’ASFC serait une « autorité créée par des moyens administratifs », au sens des articles 10 et 14 de l’accord envisagé. La Direction des recours de l’ASFC serait, conformément aux explications fournies par les autorités canadiennes, une autorité indépendante et chargée de l’examen de plaintes et des recours administratifs introduits par les étrangers ne résidant pas au Canada. Par ailleurs, selon la Commission, les décisions de cette autorité pourraient être contestées devant le Commissaire canadien à la protection de la vie privée par l’intermédiaire d’une personne résidant au Canada.
161. En sixième lieu, dans leurs réponses aux questions écrites adressées par la Cour ainsi qu’à l’audience, le gouvernement du Royaume-Uni, le Conseil et la Commission ont fourni un certain nombre de précisions sur le contenu des 19 catégories de données PNR figurant à l’annexe de l’accord envisagé. En particulier, selon la Commission, seule la 17e rubrique, intitulée « remarques générales, y compris les données OSI (Other Supplementary Information), les données SSI (Special Service Information) et les données SSR (Special Service Request) » contiendrait des données sensibles, au sens de l’accord envisagé. Ces dernières données ne seront transmises que de manière facultative, puisqu’elles sont susceptibles d’être révélées uniquement dans le cadre de la réservation de services supplémentaires demandés par le voyageur et, selon le gouvernement du Royaume-Uni, ne seront consultables que dans des circonstances exceptionnelles, selon les stipulations de l’accord envisagé. En outre, le gouvernement français a indiqué que les enseignements de l’arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650), ne sont pas applicables à l’examen de la compatibilité de l’accord envisagé avec les traités, tandis que l’Irlande estime que cet arrêt fournit des indications importantes quant au niveau de protection adéquat auquel doit satisfaire un pays tiers. Quant au Conseil et à la Commission, ces institutions partagent l’opinion selon laquelle seuls les points 91 à 93 et 95 de cet arrêt, qui portent sur l’interprétation de la Charte, sont applicables dans le cadre de l’examen de la compatibilité de l’accord envisagé. En revanche, ces institutions sont d’avis que l’examen de l’accord envisagé devrait conduire à une conclusion différente de celle à laquelle la Cour est parvenue dans cet arrêt. Enfin, concernant la divulgation ultérieure prévue aux articles 18 et 19 de l’accord envisagé, l’Irlande, le Conseil et la Commission rappellent que cette divulgation est subordonnée à des conditions strictes et au respect des finalités prévues à l’article 3 de l’accord envisagé. Par ailleurs, la Commission souligne que l’article 19 de l’accord envisagé devrait être lu à la lumière de la réglementation canadienne pertinente.
B – Analyse
1. Observations liminaires
162. Avant d’aborder le cœur de la première question faisant l’objet de la demande d’avis du Parlement, trois observations liminaires me paraissent devoir être faites quant à la portée de l’examen qui doit être mené.
163. Tout d’abord, ainsi que cela transparaît de leurs observations, les parties intéressées ont à plusieurs reprises durant la procédure fait référence à la réglementation et à la pratique canadiennes, notamment afin d’expliciter, voire de compléter, certaines des stipulations de l’accord envisagé. Or, il est évident que, afin d’examiner la compatibilité d’un accord envisagé avec le droit primaire de l’Union dans le cadre de la procédure prévue à l’article 218, paragraphe 11, TFUE, la Cour ne saurait se prononcer sur la réglementation ou la pratique d’un pays tiers. L’examen de la Cour ne peut porter que sur les stipulations de l’accord envisagé telles qu’elles lui ont été soumises.
164. Pour compréhensible et logique que soit cette limite matérielle du contrôle juridictionnel dans le cadre de la procédure de l’avis, elle n’est cependant pas sans poser certaines difficultés. C’est ainsi que, tandis qu’il est constant que l’accord envisagé doit notamment offrir un cadre juridique aux autorités canadiennes permettant, grâce à l’analyse des données PNR, d’appliquer des méthodes relatives à l’identification de passagers jusque-là inconnus des services répressifs, sur la base de schémas de comportements « préoccupants » ou présentant un « intérêt » (55), aucune des stipulations de l’accord envisagé ne traite de l’établissement desdites méthodes, du droit de chaque passager « ciblé » à pouvoir être informé des méthodes utilisées et à se voir garantir que de telles méthodes de « ciblage » soient soumises à un contrôle administratif et/ou juridictionnel, questions qui semblent toutes relever de la seule discrétion des autorités canadiennes (56). Or, il est légitime, me semble-t-il, de se demander si, au regard du respect des articles 7 et 8 de la Charte, ces questions et ces garanties ne devraient pas être réglées par les stipulations de l’accord envisagé elles-mêmes. Cet exemple montre que l’une des difficultés de la présente affaire tient à la circonstance qu’elle implique de vérifier, au regard notamment du droit à la protection des données à caractère personnel, non pas simplement ce que prévoit l’accord envisagé, mais aussi et surtout ce qu’il a omis de prévoir.
165. Ensuite, il importe de relever que la demande d’avis du Parlement s’est limitée à mettre en évidence un certain nombre de stipulations de l’accord envisagé qui, selon cette institution, présenteraient des profils, plus ou moins clairs et forts, d’incompatibilité avec l’article 16 TFUE et les articles 7, 8 et l’article 52, paragraphe 1, de la Charte. Au vu de la finalité préventive de la procédure d’avis et de son caractère non contentieux, la Cour ne saurait être tenue de respecter une telle délimitation de la demande, qu’elle soit intentionnelle ou non. L’avis 1/00, du 18 avril 2002 (EU:C:2002:231, point 1), dans lequel la Cour a intégré dans son examen de la compatibilité d’un accord envisagé plusieurs règles de cet accord qui ne faisaient pas expressément l’objet de la demande d’avis introduite par la Commission, et l’avis 1/08, du 30 novembre 2009 (EU:C:2009:739, points 96 à 105), dans lequel la Cour a refusé la suggestion du demandeur de limiter son examen à certaines parties du projet d’accord en cause faisant l’objet de la demande d’avis, en fournissent déjà d’excellentes illustrations.
166. Dans la présente procédure, je considère qu’il est approprié que la Cour inclue dans son examen la compatibilité de stipulations de l’accord envisagé, comme ses articles 18 et 19, qui n’ont pas fait l’objet de critiques spécifiques de la part du Parlement dans sa demande d’avis, mais qui méritent l’attention de la Cour. J’ajoute que le Parlement et les autres parties intéressées ont eu l’occasion de formuler des observations sur ces articles soit dans le cadre de leurs réponses aux questions écrites adressées par la Cour, soit à l’audience devant cette dernière.
167. Enfin, au vu des débats s’étant déroulés devant la Cour, j’estime utile de rappeler que, en vertu de l’article 218, paragraphe 11, TFUE, les normes à l’égard desquelles l’examen de la compatibilité de l’accord envisagé peut être mené incluent uniquement celles du droit primaire de l’Union, à savoir, en l’occurrence, les traités et les droits énumérés dans la Charte (57), à l’exclusion du droit dérivé. À cet égard, rien ne fait obstacle à ce que la Cour inclue dans son examen de la validité matérielle de l’accord envisagé des dispositions de droit primaire non mentionnées dans la question posée par le Parlement, tel l’article 47 de la Charte, si cela s’avère nécessaire aux fins de la procédure de l’avis et si les parties intéressées ont eu l’occasion de faire valoir leurs observations sur ces dispositions. Tel est bien le cas en ce qui concerne le respect du contrôle juridictionnel effectif garanti par l’article 47 de la Charte.
168. Ces observations faites, les développements qui suivent s’articuleront essentiellement autour des critères d’application des articles 7, 8 et de l’article 52, paragraphe 1, de la Charte. Bien que cela ne soit pas fondamentalement contesté, j’examinerai si les stipulations de l’accord envisagé constituent une ingérence dans les droits fondamentaux à la vie privée et à la protection des données à caractère personnel et si cette ingérence peut être justifiée. C’est évidemment l’examen de la justification de l’ingérence, tout particulièrement sa proportionnalité, qui s’avère controversé.
2. Sur l’existence d’une ingérence dans les droits garantis par les articles 7 et 8 de la Charte
169. Sans qu’il soit besoin d’examiner de manière individuelle et exhaustive les 19 catégories de données PNR énumérées dans l’annexe à l’accord envisagé, il est constant qu’elles ont notamment trait à l’identité, la nationalité et l’adresse des passagers, à toutes les coordonnées (adresse domiciliaire, adresse email, téléphone) disponibles du passager ayant effectué la réservation, aux informations relatives au moyen de paiement utilisé, y compris, le cas échéant, le numéro de la carte de crédit ayant servi à réserver le vol, aux informations relatives aux bagages, aux habitudes de voyage des passagers, ainsi qu’à celles relatives à des services supplémentaires demandés par ces derniers concernant leurs éventuels problèmes de santé, y compris de mobilité, ou leurs souhaits alimentaires durant le vol, qui sont susceptibles de fournir des indications, notamment, quant à l’état de santé d’un ou de plusieurs voyageurs, à leur origine ethnique ou à leurs convictions religieuses.
170. Ces données, prises dans leur globalité, touchent à la sphère de la vie privée, voire intime, des personnes et se rapportent, de manière incontestable, à une ou à plusieurs « personne(s) physique(s) identifiées ou identifiables » (58). Il ne fait donc aucun doute, au regard de la jurisprudence de la Cour, que la transmission systématique des données PNR aux autorités publiques canadiennes, l’accès à ces données et l’utilisation et la conservation pour une durée de cinq ans de ces données par ces mêmes autorités publiques ainsi que, le cas échéant, leur transfert ultérieur au profit d’autres autorités publiques, y compris d’autres pays tiers, en vertu des stipulations de l’accord envisagé, sont des opérations qui entrent dans le champ d’application du droit fondamental au respect de la vie privée et familiale garanti par l’article 7 de la Charte ainsi qu’à celui « étroitement lié » (59), mais néanmoins distinct, relatif à la protection des données à caractère personnel garanti par l’article 8, paragraphe 1, de la Charte et constituent une ingérence dans ces droits fondamentaux.
171. En effet, la Cour a déjà jugé, s’agissant de l’article 8 de la CEDH, sur lequel sont fondés les articles 7 et 8 de la Charte (60), que la communication de données à caractère personnel à un tiers, en l’occurrence à une autorité publique, présente le caractère d’une ingérence au sens de cet article (61) et que l’obligation de conservation des données, exigée par les pouvoirs publics ainsi que l’accès ultérieur des autorités nationales compétentes aux données relatives à la vie privée constituent également, en soi, une ingérence dans les droits garantis par l’article 7 de la Charte (62). De même, un acte de l’Union prescrivant toute forme de traitement des données à caractère personnel est constitutif d’une ingérence dans le droit fondamental, énoncé à l’article 8 de la Charte, à la protection de telles données (63). Cette appréciation s’applique, mutatis mutandis, à l’égard d’un acte de l’Union prenant la forme d’un accord international conclu par cette dernière, tel que l’accord envisagé, qui vise, en particulier, à permettre à une ou à plusieurs autorités publiques d’un pays tiers de traiter et de conserver les données à caractère personnel de passagers aériens. En effet, la légalité d’un tel acte est conditionnée au respect des droits fondamentaux protégés dans l’ordre juridique de l’Union (64), en particulier de ceux garantis par les articles 7 et 8 de la Charte.
172. La circonstance, mise en avant par le gouvernement du Royaume-Uni, selon laquelle les personnes concernées par l’accord envisagé ou tout au moins la grande majorité d’entre elles ne subiraient pas d’inconvénients en raison de cette ingérence importe peu aux fins d’établir l’existence d’une telle ingérence (65).
173. Pareillement, est sans pertinence le fait qu’il soit possible que les informations communiquées ou, tout du moins, la majorité d’entre elles ne présentent pas de caractère sensible (66).
174. Au demeurant, je relève que les parties contractantes sont parfaitement conscientes de l’ingérence qu’impliquent la transmission, l’utilisation, la conservation et le transfert ultérieur des données PNR prévus par l’accord envisagé, puisque, ainsi que cela ressort expressément de son préambule, c’est précisément en raison de cette ingérence que ce dernier tente de concilier les exigences relatives à la sécurité publique et le respect des droits fondamentaux à la protection de la vie privée et des données à caractère personnel.
175. Il est vrai que la recherche d’une telle conciliation par les parties contractantes est susceptible de réduire l’intensité ou la gravité de l’ingérence que comporte l’accord envisagé dans les droits fondamentaux garantis par les articles 7 et 8 de la Charte.
176. Il n’en demeure pas moins que l’ingérence que comporte l’accord envisagé est d’une ampleur certaine et d’une gravité non négligeable. En effet, d’une part, elle concerne, de manière systématique, tous les passagers empruntant les liaisons aériennes entre le Canada et l’Union, c’est-à-dire plusieurs dizaines de millions de personnes par an (67). D’autre part, comme l’ont confirmé la plupart des parties intéressées, il n’échappe à personne que le transfert de quantités volumineuses de données à caractère personnel des passagers aériens, parmi lesquelles figurent des données sensibles, nécessitant, par définition, leur traitement automatisé, ainsi que la conservation de ces données pour une période de cinq ans visent à permettre une comparaison, le cas échéant rétrospective, de ces données avec des schémas préétablis de comportements « à risque » ou « préoccupants », en lien avec des activités terroristes et/ou de criminalité transnationale grave, afin d’identifier des personnes jusque-là inconnues des services de police ou non suspectées. Or, ces caractéristiques, apparemment inhérentes au régime PNR mis en place par l’accord envisagé, sont susceptibles de donner la fâcheuse impression que tous les voyageurs concernés sont transformés en suspects potentiels (68).
177. Il convient toutefois d’ajouter que, à la différence du Parlement, cette constatation ne me paraît pas devoir s’étendre à la collecte des données PNR par les transporteurs aériens.
178. En effet, l’accord envisagé ne régit pas la collecte de ces données, mais se fonde sur la présomption de droit et de fait que les transporteurs aériens recueillent de toute manière les données PNR pour leur propre usage commercial. Certes, il est indéniable que certaines stipulations de l’accord envisagé évoquent la collecte des données PNR. Ainsi, son article 4, paragraphe 2, précise que le Canada n’exige pas d’un transporteur aérien qu’il fournisse des éléments de données PNR qu’il n’a pas encore collectées ou dont il n’est pas encore entré en possession. De même, l’article 11 de l’accord envisagé impose au Canada de veiller à ce que l’autorité canadienne compétente renseigne sur son site Internet notamment de « la raison de la collecte de données PNR », les parties contractantes devant aussi œuvrer, particulièrement avec le secteur aérien, à promouvoir la transparence en fournissant aux passagers, « de préférence au moment de la réservation » des vols, « les raisons de la collecte des données PNR ». Si une telle obligation de transparence pourrait, à mes yeux, opportunément être renforcée en prescrivant qu’une information individuelle sur les raisons de la collecte soit fournie de façon systématique au moment de la réservation des vols, il n’en demeure pas moins que l’accord envisagé ne règle pas l’opération de collecte à proprement dit pas plus que ses modalités spécifiques, qui relèvent toutes de la compétence des transporteurs aériens, lesquels, à cet égard, doivent agir dans le respect des dispositions nationales pertinentes et du droit de l’Union.
179. Partant, la collecte des données PNR ne constitue pas un traitement de données à caractère personnel impliquant une ingérence dans les droits fondamentaux garantis par les articles 7 et 8 de la Charte qui résulte de l’accord envisagé lui-même. Au vu de la compétence circonscrite de la Cour dans le cadre de la procédure de l’avis, cette opération ne fera donc pas l’objet des développements qui suivront.
180. Indépendamment de ce constat relatif à la collecte des données PNR, il n’en demeure pas moins que, pour les raisons exposées aux points 170 à 176 des présentes conclusions, l’accord envisagé comporte, selon moi, une grave ingérence dans les droits fondamentaux garantis par les articles 7 et 8 de la Charte. Afin d’être autorisée, cette ingérence doit être justifiée.
3. Sur la justification de l’ingérence dans les droits garantis par les articles 7 et 8 de la Charte
181. Ni le droit au respect de la vie privée et familiale ni celui à la protection des données à caractère personnel n’apparaissent comme des prérogatives absolues.
182. C’est ainsi que l’article 52, paragraphe 1, de la Charte admet que des limitations peuvent être apportées à l’exercice de droits tels que ceux consacrés à l’article 7 et à l’article 8, paragraphe 1, de celle-ci, à condition que ces limitations soient prévues par la loi, qu’elles respectent le contenu essentiel desdits droits et que, dans le respect du principe de proportionnalité, elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui.
183. Par ailleurs, l’article 8, paragraphe 2, de la Charte autorise le traitement des données à caractère personnel « à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi ».
184. Faisons d’emblée remarquer à propos de l’une des conditions énumérées à l’article 8, paragraphe 2, de la Charte que l’accord envisagé ne cherche pas à fonder le traitement des données PNR transmises à l’autorité canadienne compétente sur le consentement des passagers aériens (69). Au vu de l’obligation faite aux transporteurs aériens de transmettre les catégories de données PNR figurant à l’annexe de l’accord envisagé, ces passagers ne peuvent s’opposer au transfert desdites données s’ils souhaitent se rendre par voie aérienne au Canada. De surcroît, la circonstance, évoquée lors de l’audience devant la Cour, selon laquelle certaines données PNR, contenant, le cas échéant, des données sensibles, puissent uniquement être communiquées au transporteur aérien lorsque le voyageur requiert la prestation de services spécifiques ne signifie aucunement que ce voyageur ait consenti au traitement de ces données par l’autorité compétente canadienne aux fins de l’article 3 de l’accord envisagé.
185. De surcroît, il n’a pas été soutenu devant la Cour et il ne m’apparaît pas non plus que l’ingérence contenue dans l’accord envisagé soit de nature à porter atteinte au « contenu essentiel », au sens de l’article 52, paragraphe 1, de la Charte, des droits fondamentaux consacrés à l’article 7 et à l’article 8, paragraphe 1, de celle-ci.
186. En effet, d’une part, la nature des données PNR faisant l’objet de l’accord envisagé ne permet pas de tirer des conclusions précises sur le contenu essentiel de la vie privée des personnes concernées. Elles demeurent limitées aux habitudes de voyage aérien entre le Canada et l’Union. De surcroît, l’accord envisagé prévoit à ses articles 8, 16, 18 et 19 une série de garanties relatives au masquage et à la dépersonnalisation progressive des données PNR ayant été communiquées aux autorités canadiennes, utilisées et conservées par celles-ci et, le cas échéant, ultérieurement transférées, qui a substantiellement pour objet d’assurer la préservation de la vie privée.
187. D’autre part, en ce qui concerne le contenu essentiel de la protection des données à caractère personnel, il importe de relever que, en vertu de l’article 9 de l’accord envisagé, le Canada doit notamment « assure[r] la protection, la sécurité, la confidentialité et l’intégrité des données », ainsi que mettre en œuvre « des mesures réglementaires, procédurales et techniques visant à protéger les données PNR contre les accès, traitements ou pertes fortuits, illégaux ou non autorisés ». De plus, toute violation de la sécurité des données doit pouvoir faire l’objet de mesures correctives efficaces et dissuasives, éventuellement assorties de sanctions.
188. Il convient donc de vérifier si les autres conditions de justification prévues à l’article 8, paragraphe 2, de la Charte ainsi que celles énoncées à l’article 52, paragraphe 1, de celle-ci, qui se recoupent d’ailleurs partiellement, sont satisfaites.
189. Je ne m’attarderai pas outre mesure sur deux de ces conditions, à savoir, d’une part, celle selon laquelle l’ingérence doit être « prévue par la loi » [titre a)] et, d’autre part, répondre à un objectif d’intérêt général (ou à un « fondement légitime », selon l’expression utilisée par l’article 8, paragraphe 2, de la Charte) [titre b)], qui m’apparaissent manifestement satisfaites. En revanche, plus longs seront les développements consacrés à la question de la proportionnalité de l’ingérence [titre c)].
a) Une ingérence « prévue par la loi », au sens de l’article 52, paragraphe 1, de la Charte
190. Quant au premier point, les doutes essentiellement formels exprimés par le Parlement quant à l’origine « légale » de l’ingérence peuvent de toute évidence être dissipés. Selon la jurisprudence de la Cour EDH, l’expression « prévue par la loi », énoncée à l’article 8, paragraphe 2, de la CEDH, signifie notamment que la mesure en cause a une base en droit interne (70) et doit être entendue dans son acception matérielle et non formelle (71). La Cour EDH admet ainsi que des règles non écrites satisfont à cette condition (72). De plus, la Cour EDH a déjà jugé qu’un traité international, incorporé en droit interne national, répond aussi à cette exigence (73).
191. À l’image de la Cour EDH, la Cour entérine une acception matérielle et non pas formelle de l’expression « prévue par la loi » figurant à l’article 52, paragraphe 1, de la Charte. C’est ainsi qu’elle a considéré cette condition comme étant satisfaite dans le cas de limitations apportées aux droits garantis par les articles 7 et 8 de la Charte par des dispositions de règlements de l’Union, adoptés respectivement par la Commission (74) et par le Conseil (75), sans, partant, que le Parlement ait été associé en tant que « colégislateur » à l’adoption de ces actes.
192. En l’occurrence, il est constant que l’acte portant conclusion de l’accord envisagé ne peut être adopté par le Conseil que si, en application de l’article 218, paragraphe 6, sous a), v), TFUE, l’accord envisagé est préalablement approuvé par le Parlement, puisque cet accord couvre des domaines, à savoir ceux de la coopération policière et de la conservation des données à caractère personnel, auxquels s’applique la procédure législative ordinaire. Une fois ces procédures complétées, conformément à l’article 216, paragraphe 2, TFUE, l’accord fera partie intégrante de l’ordre juridique de l’Union et bénéficiera de la primauté sur les actes de droit dérivé (76). Il s’ensuit, selon moi, que l’ingérence qui découle de l’accord envisagé est bien « prévue par la loi », au sens de l’article 52, paragraphe 1, de la Charte.
193. Toujours à ce propos, je tiens à ajouter, quand bien même cela n’a pas fait l’objet de débat entre les parties intéressées à la présente procédure, que, d’une manière générale, l’accord envisagé me paraît aussi répondre au second volet couvert par l’expression « prévue par la loi », au sens de l’article 8 de la CEDH, tel qu’interprété par la Cour EDH, à savoir celui de la « qualité de la loi ». Selon la jurisprudence de la Cour EDH, cette expression exige, en substance, que la mesure en cause soit accessible et suffisamment prévisible, soit, autrement dit, qu’elle use des termes assez clairs pour indiquer à tous de manière suffisante en quelles circonstances et sous quelles conditions elle habilite la puissance publique à recourir à des mesures affectant leurs droits protégés par la CEDH (77). Or, une fois conclu, l’accord envisagé sera intégralement publié au Journal officiel de l’Union européenne, ce qui satisfait manifestement au critère d’accessibilité. Quant au critère de prévisibilité, abstraction faite des considérations spécifiques, certes plutôt nombreuses, relatives à la portée et au degré de précision et de clarté de plusieurs stipulations de l’accord envisagé, qui seront développées ultérieurement (78), j’estime aussi que, globalement, l’accord envisagé est libellé de façon assez claire pour permettre à l’ensemble des personnes concernées de comprendre, à suffisance, les conditions et les circonstances dans lesquelles les données PNR sont transférées aux autorités canadiennes, traitées, conservées et éventuellement divulguées ultérieurement par ces dernières, et de régler leur conduite en conséquence. En outre, l’article 11 de l’accord envisagé prévoit une série de mesures supplémentaires devant être adoptée par les parties contractantes permettant d’assurer l’information du public qui ont trait, en particulier, aux raisons de la collecte des données PNR ainsi qu’à leur utilisation et à leur divulgation.
b) Une ingérence répondant à un objectif d’intérêt général
194. L’ingérence qui découle de l’accord envisagé me paraît assurément répondre à un objectif d’intérêt général, au sens de l’article 52, paragraphe 1, de la Charte, à savoir celui de la lutte contre le terrorisme et la criminalité (transnationale) grave, afin de garantir la sécurité publique, tel que cela est notamment précisé dans le préambule et les articles 1er et 3 de l’accord envisagé. Aucune des parties intéressées n’a remis en cause la légitimité de la poursuite d’un tel objectif par l’accord envisagé. Formulé de manière légèrement différente, le caractère d’intérêt général de cet objectif aux fins de l’application de l’article 52, paragraphe 1, de la Charte a d’ailleurs déjà été reconnu par la Cour dans sa jurisprudence (79).
195. Il importe donc à ce stade de vérifier si l’ingérence dans les droits garantis par l’article 7 et l’article 8, paragraphe 1, de la Charte est proportionnée à l’objectif légitime recherché.
c) Sur la proportionnalité de l’ingérence que comporte l’accord envisagé
i) Considérations générales
196. Il est de jurisprudence constante que le principe de proportionnalité exige que les actes des institutions de l’Union soient aptes à réaliser les objectifs légitimes poursuivis par la réglementation en cause et ne dépassent pas les limites de ce qui est approprié et nécessaire à la réalisation de ces objectifs (80).
197. À cet égard, les parties intéressées ont tout d’abord débattu de l’étendue du contrôle juridictionnel du respect de ces conditions. Tandis que le Parlement, le gouvernement estonien et le CEPD soutiennent la nécessité d’un contrôle strict du respect de ces conditions, à l’image de ce que la Cour a admis dans les arrêts du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), ainsi que du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650), l’Irlande, les gouvernements français et du Royaume-Uni notamment défendent, en substance, l’idée selon laquelle la Cour devrait limiter l’étendue de son contrôle en accordant une marge d’appréciation plus large aux institutions, lorsqu’il s’agit d’adopter un acte s’insérant dans le contexte des relations internationales et eu égard au caractère limité de l’ingérence que cet acte implique.
198. La thèse de ces dernières parties intéressées ne me convainc pas.
199. Certes, je suis prêt à admettre que l’étendue de la marge d’appréciation des institutions peut s’avérer différente selon qu’est envisagée l’adoption d’un acte de droit dérivé de l’Union ou la conclusion d’un accord international, impliquant, par définition, la négociation avec un ou plusieurs pays tiers. Il est évident que, dans le contexte particulier des données PNR communiquées à des pays tiers aux fins de leur traitement, il est certainement plus opportun de conclure un accord international assurant aux passagers aériens, citoyens de l’Union, une protection de la vie privée et des données à caractère personnel suffisante, correspondant, le plus possible, aux exigences du droit de l’Union, plutôt que de laisser au gré de chacun des pays tiers concernés l’entière liberté d’appliquer unilatéralement sa propre législation nationale.
200. Si ces considérations méritent d’être conservées à l’esprit, la Cour ne saurait cependant renoncer à exercer un contrôle strict du respect des exigences découlant du principe de proportionnalité, et plus particulièrement, du caractère adéquat du niveau de protection des droits fondamentaux garantis dans l’Union lorsque le Canada traite et utilise des données PNR, en vertu de l’accord envisagé.
201. En effet, la nécessité d’assurer un contrôle juridictionnel de cette nature repose, d’une part, sur le rôle important que joue la protection des données à caractère personnel au regard du droit fondamental au respect de la vie privée et, d’autre part, sur l’ampleur et la gravité de l’ingérence dans ce droit (81), ce qui peut inclure le nombre important de personnes dont les droits fondamentaux sont susceptibles d’être violés en cas de transfert de données à caractère personnel vers un pays tiers (82). Or, comme je l’ai déjà indiqué, l’ingérence que comporte l’accord envisagé dans les droits garantis par les articles 7 et 8 de la Charte m’apparaît d’une ampleur certaine et d’une gravité non négligeable.
202. Dans le même esprit, il ressort de l’arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, points 72 et 78), que les institutions disposent d’un pouvoir d’appréciation réduit quant au caractère adéquat du niveau de protection assuré par un pays tiers vers lequel sont transférées des données à caractère personnel, ce qui implique un contrôle strict de la continuité du niveau élevé de la protection des données à caractère personnel, prévue en droit de l’Union.
203. Or, même si, comme je l’ai déjà signalé, l’accord envisagé ne saurait se réduire à une décision constatant que l’autorité canadienne compétente assure un niveau de protection adéquat, l’article 5 de l’accord envisagé prévoit bel et bien que, pour autant qu’elle se conforme aux stipulations dudit accord, l’autorité canadienne compétente est réputée fournir un niveau de protection adéquat, au sens du droit de l’Union en matière de protection des données, lorsqu’elle traite et utilise des données PNR. L’intention des parties contractantes est bien celle de garantir que le niveau élevé de protection des données à caractère personnel atteint dans l’Union puisse être assuré lorsque les données PNR sont transférées vers le Canada. Au vu de cette intention, je ne perçois aucune raison qui justifierait que la Cour ne procède pas à un contrôle strict du respect du principe de proportionnalité.
204. Certes, à l’instar de ce que la Cour a admis au point 74 de l’arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650), je concède que les moyens auxquels le Canada peut avoir recours pour assurer un niveau de protection adéquat peuvent être différents de ceux mis en œuvre au sein de l’Union. Il n’en demeure pas moins que, comme la Cour l’a également précisé dans ce même point du même arrêt, ces moyens doivent s’avérer, en pratique, effectifs afin d’assurer une protection « substantiellement équivalente » à celle garantie au sein de l’Union. À cet égard, le contrôle de la Cour sur le caractère « substantiellement équivalent » du niveau de protection résultant des stipulations de l’accord envisagé à celui garanti par le droit de l’Union ne saurait être limité.
ii) Sur l’aptitude de l’ingérence à réaliser l’objectif de sécurité publique poursuivi par l’accord envisagé
205. Ce point étant clarifié, je ne pense pas qu’il existe de véritables obstacles à reconnaître que l’ingérence que comporte l’accord envisagé soit apte à réaliser l’objectif de sécurité publique, en particulier de lutte contre le terrorisme et la criminalité transnationale grave, poursuivi par ce dernier. En effet, ainsi que l’ont fait notamment valoir le gouvernement du Royaume-Uni et la Commission, la transmission de données PNR en vue de leur analyse et de leur conservation permet aux autorités canadiennes de disposer de possibilités supplémentaires d’identification de passagers, jusque-là inconnus et non soupçonnés, qui pourraient présenter des liens avec d’autres personnes et/ou passagers impliqués dans un réseau terroriste ou participant à des activités de criminalité transnationale grave. Ces données, ainsi que l’illustrent les statistiques communiquées par le gouvernement du Royaume-Uni et la Commission à propos de la pratique passée des autorités canadiennes, constituent des instruments utiles pour les enquêtes pénales (83), qui sont également de nature à favoriser, au regard notamment de la coopération policière instituée par l’accord envisagé, la prévention et la détection d’une infraction terroriste ou d’un acte de criminalité transnationale grave à l’intérieur de l’Union.
206. Si l’absence de participation du Royaume de Danemark est susceptible de réduire l’aptitude des mesures prévues par l’accord envisagé à contribuer à renforcer la sécurité à l’intérieur de l’Union, elle ne paraît pas, à elle seule, de nature à rendre l’ingérence inapte à atteindre l’objectif de sécurité publique poursuivi par ledit accord. En effet, d’une part, tous les transporteurs aériens assurant des liaisons vers le Canada sont soumis à l’obligation de transmettre à l’autorité canadienne compétente les données PNR qu’ils collectent (84) et, d’autre part, l’autorité canadienne compétente est habilitée, en vertu de l’article 19 de l’accord envisagé, à divulguer hors du Canada, et sous réserve du respect de conditions strictes, des données PNR, au cas par cas, à des autorités publiques dont les fonctions sont directement liées à la finalité visée à l’article 3 dudit accord (85).
iii) Sur le caractère strictement nécessaire de l’ingérence
207. Quant au caractère strictement nécessaire de l’ingérence que comporte l’accord envisagé, son appréciation doit, selon moi, conduire à vérifier si les parties contractantes ont effectué une « pondération équilibrée » entre, d’une part, l’objectif de lutte contre le terrorisme et la criminalité transnationale grave et, d’autre part, celui de la protection des données à caractère personnel dans le respect de la vie privée des personnes concernées (86).
208. Une telle pondération équilibrée doit pouvoir, selon moi, se refléter dans les stipulations de l’accord envisagé. Ces stipulations doivent ainsi établir des règles claires et précises régissant la portée et l’application d’une mesure prévoyant une ingérence dans les droits garantis par les articles 7 et 8 de la Charte et imposer un minimum d’exigences de sorte que les personnes concernées disposent de garanties suffisantes pour protéger efficacement leurs données contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données (87). Les stipulations de l’accord envisagé doivent aussi consister dans les mesures les moins attentatoires aux droits reconnus par les articles 7 et 8 de la Charte, tout en contribuant de manière efficace à l’objectif de sécurité publique poursuivi par l’accord envisagé (88). Ce constat implique qu’il ne suffit pas d’imaginer, de manière abstraite, l’existence de mesures alternatives moins intrusives dans les droits fondamentaux en cause. Il faut encore que ces mesures alternatives soient suffisamment efficaces (89), c’est-à-dire qu’elles présentent, selon moi, une efficacité comparable à celles prévues par l’accord envisagé, en vue de réaliser l’objectif de sécurité publique poursuivi par celui-ci.
209. À cet égard, les parties intéressées ont débattu tant du caractère strictement nécessaire des accords PNR en général que de certaines stipulations de l’accord envisagé. Ces deux aspects étant, selon moi, intrinsèquement liés, j’estime qu’il convient de les aborder lors de l’examen des différentes parties de l’accord envisagé.
210. Je me concentrerai donc sur les huit points suivants, qui ont fait spécifiquement l’objet de la demande d’avis ou qui ont été discutés entre les parties intéressées au cours de la procédure devant la Cour, à savoir les catégories de données PNR visées par l’accord envisagé, le caractère suffisamment précis de la finalité pour laquelle le traitement de données PNR est autorisé, l’identification de l’autorité compétente en charge du traitement de données PNR, le traitement automatisé de données PNR, l’accès aux données PNR, la conservation des données PNR, le transfert ultérieur des données PNR et, enfin, les mesures de surveillance et de contrôle juridictionnel prévues par l’accord envisagé.
– Sur les catégories de données PNR visées par l’accord envisagé
211. Comme déjà mentionné, l’accord envisagé prévoit la transmission à l’autorité canadienne compétente de 19 catégories de données PNR collectées par les transporteurs aériens aux fins de la réservation de vols, énumérées à l’annexe de cet accord.
212. Devant la Cour, les parties intéressées ont présenté des observations sur la signification de certaines de ces catégories, sur leur éventuel double emploi avec les données recueillies par les autorités canadiennes à des fins de contrôle des frontières ou, depuis le 15 mars 2016, pour délivrer une autorisation de voyage électronique (ci‑après « AVE »), ainsi que sur l’identification des données PNR susceptibles de contenir des données sensibles. À cet égard, durant la procédure devant la Cour, la Commission a affirmé que seule la rubrique 17, figurant à l’annexe de l’accord envisagé, intitulée « remarques générales, y compris les données OSI (Other Supplementary Information), les données SSI (Special Service Information) et les données SSR (Special Service Request) », est susceptible de contenir des données sensibles, au sens de l’accord envisagé. En outre, il est ressorti des débats devant la Cour que les informations figurant dans la rubrique 17 n’étaient transmises que lorsque la personne qui effectue la réservation d’un vol requerrait certains services à bord, tels que des services d’assistance, liés, le cas échéant, à des problèmes de santé ou de mobilité ou à des exigences alimentaires particulières, qui peuvent éventuellement fournir des indications sur l’état de santé ou révéler l’origine ethnique ou les convictions religieuses de cette personne ou des passagers l’accompagnant.
213. Il est constant que les 19 catégories de données PNR dont la transmission à l’autorité canadienne compétente est prévue par l’accord envisagé correspondent aux catégories qui apparaissent dans les systèmes de réservation des compagnies aériennes. Ces catégories correspondent aussi aux éléments de données PNR énumérés à l’annexe I des lignes directrices sur les données des dossiers passagers adoptées par l’Organisation de l’aviation civile internationale (OACI) et publiées en 2010 (90). Les éléments contenus dans ces catégories sont donc parfaitement connus des opérateurs actifs dans le secteur aérien. Ces éléments concernent, en définitive, toutes les informations nécessaires pour effectuer une réservation d’un trajet par voie aérienne, qu’il s’agisse des moyens de réservation et des moyens de paiement utilisés, de l’itinéraire choisi ou des services éventuellement demandés à bord.
214. Par ailleurs, comme l’ont mis en exergue l’Irlande, le gouvernement du Royaume-Uni et la Commission, les données PNR, prises dans leur globalité, comportent des informations supplémentaires par rapport aux données recueillies à des fins de contrôle aux frontières par les autorités canadiennes en charge de l’immigration. En effet, les informations préalables sur le voyageur (IPV), d’ordre biographique et relatives au trajet emprunté, qui sont collectées par les transporteurs aériens, ont pour but principal de faciliter et d’accélérer les contrôles d’identité des passagers à la frontière en permettant, le cas échéant, d’éviter l’embarquement de personnes frappées, par exemple, d’interdiction de séjour ou de soumettre certains passagers déjà identifiés à un contrôle renforcé à la frontière (91). De même, au Canada, l’exigence nouvelle d’une AVE s’inscrit dans l’optique de la préservation du programme d’immigration de ce pays, puisqu’elle requiert, pour toute personne désirant se rendre au Canada par voie aérienne, qui n’est pas soumise à l’obligation de visa, d’obtenir, sur la base de renseignements biographiques et tenant à l’admission et au séjour au Canada, par voie électronique, une autorisation préalable de voyage dont la durée de validité est d’au maximum cinq ans (92). Ce type de données ne permet cependant pas d’obtenir des informations sur les moyens de réservation, les moyens de paiement utilisés ainsi que sur les habitudes de voyages, dont le croisement présente une utilité certaine dans la lutte contre le terrorisme et les autres activités de criminalité transnationale grave. Indépendamment des méthodes utilisées pour traiter ces données, les IPV et les données requises pour la délivrance d’une AVE ne seraient donc pas suffisantes pour réaliser avec une efficacité comparable l’objectif de sécurité publique poursuivi par l’accord envisagé.
215. Il est vrai que ces catégories de données PNR sont transmises aux autorités canadiennes à l’égard de tous les voyageurs empruntant une liaison aérienne entre le Canada et l’Union, sans qu’il existe un indice que le comportement de ces voyageurs puisse avoir un lien avec une activité terroriste ou de criminalité transnationale grave.
216. Toutefois, comme l’ont expliqué les parties intéressées, l’intérêt même des régimes PNR, qu’ils soient adoptés de manière unilatérale ou qu’ils fassent l’objet d’un accord international, est précisément de garantir la transmission massive de données permettant aux autorités compétentes d’identifier, à l’aide d’outils de traitement automatisé et de scenarii ou de critères d’évaluation préétablis, des individus, inconnus des services répressifs, mais qui paraissent présenter un « intérêt » ou un risque pour la sécurité publique et qui sont, dès lors, susceptibles d’être soumis ultérieurement à des contrôles individuels plus poussés.
217. Cela étant, j’éprouve des doutes sérieux quant au caractère suffisamment clair et précis du libellé de certaines catégories de données PNR figurant à l’annexe de l’accord envisagé. En effet, certaines d’entre d’elles sont formulées de manière très, voire excessivement, ouverte, sans qu’une personne raisonnablement informée puisse déterminer soit la nature, soit la portée des données à caractère personnel que ces catégories sont susceptibles de contenir. Je pense, à cet égard, surtout à la rubrique 5 relative aux « informations disponibles sur les “grands voyageurs” et les programmes de fidélisation (billets gratuits, surclassement, etc.) », à la rubrique 7, intitulée « toutes les coordonnées disponibles (y compris les informations sur la source) », ainsi qu’à la rubrique 17, déjà mentionnée, relative aux « remarques générales ». Les explications fournies par la Commission dans ses réponses aux questions écrites posées par la Cour n’ont pas permis de dissiper ces doutes. En particulier, s’agissant de la rubrique 7, cette institution a admis qu’il s’agissait, de manière non exhaustive, de « toutes les coordonnées liées à la réservation dont notamment, l’adresse postale, ou l’email, le numéro de téléphone du voyageur, de la personne ou encore de l’agence ayant réservé le vol ». De même, en ce qui concerne la rubrique 17, la Commission a indiqué qu’elle vise toutes « les informations supplémentaires, outre celles énumérées ailleurs dans l’annexe de l’accord envisagé ».
218. L’accord envisagé prévoit certes certaines garanties dans le but d’assurer que les données transmises n’excèdent pas la liste des éléments énumérée à l’annexe de l’accord envisagé, en possession des transporteurs aériens. Il ressort en effet de l’article 4, paragraphe 3, de l’accord envisagé qu’aucune autre donnée ne doit être communiquée à l’autorité canadienne compétente, puisque le Canada doit supprimer, dès réception, toute donnée qui lui aurait été transférée alors qu’elle ne figure pas dans la liste des catégories de l’annexe à l’accord envisagé. C’est ainsi que si, conformément à ce qui est indiqué dans la rubrique 8 de cette annexe, les informations disponibles relatives au paiement du vol doivent être transférées à l’autorité canadienne compétente, elles ne sauraient inclure celles relatives aux modalités de paiement d’autres services non directement liés au vol, comme la location d’un véhicule à l’arrivée.
219. Toutefois, au vu du caractère très, voire excessivement, ouvert de certaines rubriques, il est particulièrement difficile de comprendre quelles données seraient considérées comme ne devant pas être transférées au Canada et devant, par conséquent, être supprimées par ce dernier, en application de l’article 4, paragraphe 3, de l’accord envisagé. J’ajoute qu’il est vraisemblable qu’un transporteur aérien choisira, par souci de facilité et de réduction de coûts, de transférer toutes les données qu’il a préalablement collectées, qu’elles figurent ou non parmi les rubriques énumérées à l’annexe de l’accord envisagé.
220. J’estime donc que, en vue d’assurer la sécurité juridique des personnes dont les données à caractère personnel sont transférées et traitées en vertu de l’accord envisagé et la nécessité d’établir des règles claires et précises régissant la portée matérielle dudit accord, les catégories de données figurant à l’annexe de l’accord envisagé devraient être rédigées de manière plus concise et précise, sans qu’aucune marge d’appréciation puisse être laissée soit aux transporteurs aériens, soit aux autorités canadiennes compétentes quant à la portée concrète de ces catégories.
221. Enfin, je considère que l’accord envisagé excède ce qui est strictement nécessaire en incluant dans son champ d’application le transfert de données PNR susceptibles de contenir des données sensibles, permettant, in concreto, de fournir des indications sur l’état de santé ou de révéler l’origine ethnique ou les convictions religieuses du passager concerné et/ou de ceux qui l’accompagnent.
222. À cet égard, il ressort des éléments transmis à la Cour que les données PNR susceptibles de contenir de telles données sensibles ne sont communiquées que de manière facultative, c’est-à-dire uniquement lorsqu’un passager requiert un service supplémentaire à bord. Or, il me paraît évident qu’une personne, non encore « identifiée », mais collaborant ou participant à un réseau international terroriste ou de criminalité grave, évitera, par prudence, de recourir à de tels services qui seraient notamment susceptibles de fournir des informations sur son origine ethnique ou ses convictions religieuses. Les méthodes d’investigation modernes utilisées par les autorités compétentes canadiennes consistant, selon ce qui a été expliqué à la Cour, à croiser les données PNR obtenues avec des scenarii ou des profils types de personnes à risque et qui pourraient être basées sur de telles données sensibles, puisque l’accord envisagé ne l’interdit pas, ne permettront, en définitive, que de traiter les données sensibles de personnes qui ont légitimement demandé à obtenir l’un de ces services d’assistance à bord et sur lesquelles ne pèse et ne continuera vraisemblablement à peser aucun soupçon. Or, le risque de stigmatisation d’un grand nombre d’individus, qui ne sont pourtant soupçonnés d’aucune infraction, qu’implique l’utilisation de telles données sensibles me paraît particulièrement préoccupant et m’incite à proposer à la Cour d’exclure ces données du champ d’application de l’accord envisagé. De surcroît, je tiens à faire observer que l’article 8 de l’accord PNR conclu avec l’Australie interdit, quant à lui, tout traitement de données PNR sensibles. Ce constat laisse penser, à défaut d’explication plus étayée dans l’accord envisagé quant à la stricte nécessité de traiter les données sensibles, que l’objectif de lutte contre le terrorisme et contre la criminalité internationale grave peut être réalisé de manière tout aussi efficace sans que de telles données soient même transférées au Canada.
223. J’ajoute que les garanties offertes par l’article 8 de l’accord envisagé, relatif à l’« utilisation des données sensibles », me paraissent insuffisantes pour justifier une autre approche que celle consistant à proposer d’exclure les données sensibles du champ d’application de l’accord envisagé.
224. En effet, malgré les mesures prévues à l’article 8, paragraphes 1 à 4, de l’accord envisagé, le paragraphe 5, in fine, de cet article autorise « le Canada » (et non pas uniquement l’autorité canadienne compétente) à conserver les données sensibles, conformément à l’article 16, paragraphe 5, de l’accord envisagé. Or, il résulte notamment de cette disposition que ces données peuvent être conservées pour une période n’excédant pas cinq ans lorsque ces données sont « requises pour toute action spécifique, vérification, enquête, mesure coercitive, procédure juridictionnelle , procédure pénale ou mesure d’exécution d’une peine , jusqu’à l’expiration de la situation concernée ». L’article 16, paragraphe 5, de l’accord envisagé ne fait, en outre, aucun renvoi aux finalités indiquées à l’article 3 dudit accord, contrairement au paragraphe qui le précède immédiatement. Il en résulte que des données sensibles d’un citoyen de l’Union ayant emprunté un vol vers le Canada seraient susceptibles d’être conservées pendant cinq ans (et, le cas échéant, démasquées et analysées durant cette période) par toute autorité publique canadienne, pour toute « action spécifique » ou « vérification » ou « procédure juridictionnelle », sans lien quelconque avec l’objectif poursuivi par l’accord envisagé, par exemple, comme l’a fait valoir le Parlement, dans le cas d’une procédure ayant trait au droit des contrats ou au droit de la famille. La possibilité qu’un tel cas de figure se présente incite à conclure que les parties contractantes n’ont pas effectué, sur ce point, une pondération équilibrée des objectifs poursuivis par l’accord envisagé.
225. Au vu de ces considérations, j’estime que les catégories de données PNR énumérées à l’annexe de l’accord envisagé devraient être libellées de manière plus claire et précise et que, en tout état de cause, les données sensibles devraient être exclues du champ d’application de l’accord envisagé. Il s’ensuit que l’utilisation des données sensibles prévue à l’article 8 de l’accord envisagé est, selon moi, incompatible avec les articles 7, 8 et l’article 52, paragraphe 1, de la Charte.
– Sur le caractère suffisamment précis de la finalité pour laquelle le traitement de données PNR est autorisé
226. Comme déjà indiqué, l’article 3, paragraphe 1, de l’accord envisagé prévoit que l’autorité canadienne compétente traite les données PNR reçues, conformément à cet accord, uniquement à des fins de prévention et de détection d’infractions terroristes ou de la criminalité transnationale grave, ou d’enquêtes et de poursuites en la matière.
227. L’article 3, paragraphe 2, sous a), de l’accord envisagé fournit une définition précise de l’expression « infraction terroriste », tandis que le paragraphe 3 de cet article définit « les formes graves de criminalité transnationale » comme étant « toute infraction punissable au Canada d’une peine privative de liberté d’au moins quatre ans ou d’une peine plus lourde, et telle qu’elle est définie par le droit canadien, si l’infraction est de nature transnationale ». Les conditions pour qu’une infraction possède cette nature sont également énumérées à l’article 3, paragraphe 3, sous a) à e), de l’accord envisagé.
228. L’article 3, paragraphe 5, de l’accord envisagé accorde le droit au Canada de traiter des données PNR, au cas par cas, soit pour garantir la surveillance et la responsabilité de l’administration publique [paragraphe 5, sous a)] soit pour se conformer à une convocation , un mandat d’arrêt ou une ordonnance émis par une juridiction [paragraphe 5, sous b)].
229. Dans sa demande, le Parlement admet que l’article 3 de l’accord envisagé offre certains critères objectifs, mais estime que le renvoi à la législation d’un pays tiers par son paragraphe 3 et la possibilité de traitement supplémentaire accordée par son paragraphe 5 engendrent des incertitudes quant à savoir si ledit accord est limité au strict nécessaire.
230. Je ne peux souscrire que partiellement à cette argumentation.
231. Tout d’abord, j’estime que, contrairement à ce qui était le cas s’agissant de l’acte en cause dans l’affaire Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), l’article 3 de l’accord envisagé prévoit des critères objectifs relatifs à la nature et au degré de gravité des infractions autorisant les autorités canadiennes à traiter les données PNR. Ainsi, l’infraction terroriste est directement définie à l’article 3, paragraphe 2, de l’accord envisagé et renvoie également aux activités définies comme telles par les conventions et les protocoles internationaux applicables en matière de terrorisme. La nature et la gravité d’une infraction qui relève des « formes graves de criminalité transnationale » ressortent aussi parfaitement de l’article 3, paragraphe 3, de l’accord envisagé, puisqu’il s’agit d’une infraction impliquant plus d’un seul pays et punissable d’une peine privative de liberté au Canada d’au moins quatre ans. Il ne s’agit clairement pas d’infractions mineures ou dont le caractère de gravité pourrait varier, comme c’était le cas dans l’acte à l’origine de l’arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), en fonction du droit interne d’une pluralité d’États, rendant dès lors impossible de considérer que l’ingérence dans les droits fondamentaux garantis par les articles 7 et 8 de la Charte était limitée au strict nécessaire.
232. Cependant, j’admets que le renvoi au droit interne canadien ne permet pas d’identifier quelles infractions précises peuvent être couvertes par l’article 3, paragraphe 3, de l’accord envisagé, si elles possèdent, de surcroît, une nature transnationale.
233. À cet égard, la Commission a communiqué à la Cour un document transmis par les autorités canadiennes faisant état d’une liste non exhaustive des infractions tombant sous la définition prévue à l’article 3, paragraphe 3, de l’accord envisagé qui, selon ces autorités, représente la grande majorité des infractions susceptibles de relever de cette définition.
234. Cette liste démontre clairement la gravité des infractions concernées, qui se rapportent au trafic d’armes, de munitions, d’explosifs et d’êtres humains, à la distribution ou à la possession de matériel pédopornographique, au blanchiment du produit du crime, au faux monnayage et à la contrefaçon de devises, au meurtre, à l’enlèvement, au sabotage, à la prise d’otage ou au détournement d’avion.
235. Néanmoins, pour limiter au strict nécessaire les infractions susceptibles d’autoriser le traitement de données PNR et assurer la sécurité juridique des passagers dont les données sont transmises aux autorités canadiennes, je considère que les infractions relevant de la définition de l’article 3, paragraphe 3, de l’accord envisagé devraient être limitativement énumérées, par exemple, dans une annexe à l’accord envisagé lui-même.
236. En outre, je partage les inquiétudes du Parlement quant au libellé de l’article 3, paragraphe 5, sous b), de l’accord envisagé, qui comporte un élargissement des finalités pour lesquelles est autorisé le traitement des données PNR. En effet, selon cet article, le traitement de données PNR est « également » autorisé, au cas par cas, pour se conformer à une convocation, un mandat d’arrêt ou une ordonnance émis par une juridiction, sans que soit indiqué que cette juridiction agit dans le contexte des finalités de l’accord envisagé. Cet article apparaît donc permettre le traitement de données PNR pour des fins étrangères à celles poursuivies par l’accord envisagé et/ou éventuellement à propos de situations, de comportements ou d’infractions ne relevant pas du champ d’application dudit accord.
237. Au vu de ces considérations, j’estime que, pour être limité au strict nécessaire et assurer la sécurité juridique des passagers, notamment des citoyens de l’Union, l’accord envisagé doit être accompagné d’une liste exhaustive des infractions relevant de la définition des « formes graves de criminalité transnationale », prévue à l’article 3, paragraphe 3, de cet accord. De plus, en l’état actuel de sa rédaction, l’article 3, paragraphe 5, de l’accord envisagé est incompatible avec les articles 7, 8 et l’article 52, paragraphe 1, de la Charte, en ce qu’il permet, au‑delà de ce qui est strictement nécessaire, d’élargir les possibilités de traitement de données PNR, indépendamment des finalités poursuivies par l’accord envisagé.
– Sur le champ d’application personnel de l’accord envisagé
238. Il est constant que les données PNR transmises dans le cadre de l’accord envisagé concernent l’ensemble des voyageurs empruntant des liaisons aériennes entre le Canada et l’Union, sans qu’il existe un indice de nature à laisser croire que le comportement de ces voyageurs puisse avoir un lien avec une activité terroriste ou de criminalité transnationale grave. Le transfert de ces données à l’autorité canadienne compétente, leur traitement automatisé, puis leur conservation s’appliquent donc sans qu’aucune différenciation ne soit opérée en fonction de l’éventuel risque que pourrait présenter certaines catégories de voyageurs.
239. Dans l’arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), c’est tout particulièrement le caractère indifférencié et généralisé de la conservation des données de toute personne faisant usage de services de communications électroniques dans l’Union, indépendamment de l’objectif, poursuivi par la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communication électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (93), de lutte contre les infractions graves, que la Cour a jugé comme allant au-delà du strict nécessaire.
240. Si l’ingérence que comporte l’accord envisagé est moins vaste que celle prévue par la directive 2006/24 tout en étant également moins intrusive dans la vie quotidienne de chaque personne, son caractère indifférencié et généralisé suscite des interrogations.
241. Cependant, comme je l’ai déjà fait observer au point 216 des présentes conclusions, l’intérêt même des régimes PNR est de garantir la transmission massive de données permettant aux autorités compétentes d’identifier, à l’aide d’outils de traitement automatisé et de scenarii ou de critères préétablis, des individus, jusque-là inconnus des services répressifs, mais qui paraissent présenter un « intérêt » ou un risque pour la sécurité publique et qui sont, dès lors, susceptibles d’être soumis ultérieurement à des contrôles individuels plus poussés. Ces contrôles doivent aussi pouvoir être opérés pendant une certaine période de temps après que les passagers en question ont voyagé.
242. En outre, contrairement aux personnes dont les données faisaient l’objet du traitement prévu par la directive 2006/24, toutes celles relevant de l’accord envisagé empruntent volontairement un moyen de transport international à destination ou en provenance d’un pays tiers, moyen de transport qui est lui‑même, de manière récurrente malheureusement, vecteur ou victime d’actes de terrorisme ou de criminalité transnationale grave, ce qui nécessite l’adoption de mesures assurant un niveau de sécurité élevé de l’ensemble des passagers.
243. Il est certes possible de concevoir un régime de transfert et de traitement de données PNR qui distinguerait les passagers en fonction, par exemple, de zones géographiques de provenance (en cas d’escale dans l’Union) ou selon l’âge des passagers, les mineurs pouvant, par exemple, représenter a priori un risque moindre pour la sécurité publique. Toutefois, pour autant qu’elles sont considérées comme n’impliquant pas une discrimination interdite, de telles mesures risqueraient, une fois connues, d’entraîner un contournement des stipulations de l’accord envisagé, ce qui nuirait de toute manière à la réalisation efficace de l’un de ses objectifs.
244. Or, comme déjà indiqué, il ne suffit pas d’imaginer in abstracto des mesures alternatives moins restrictives des droits fondamentaux des personnes. Encore faut-il, à mon sens, que ces mesures présentent des garanties d’efficacité comparable à celles dont la mise en place est envisagée dans le but de lutter contre les infractions terroristes et la criminalité transnationale grave. Aucune autre mesure qui, tout en limitant le nombre de personnes dont les données PNR sont traitées automatiquement par l’autorité canadienne compétente, serait susceptible d’atteindre avec une efficacité comparable le but de sécurité publique poursuivi par les parties contractantes n’a été portée à la connaissance de la Cour dans le cadre de la présente procédure.
245. Tout bien pesé, il me semble donc que, de manière générale, le champ d’application personnel de l’accord envisagé ne saurait être circonscrit davantage, sans que cela porte préjudice à l’objet même des régimes PNR.
– Sur l’identification de l’autorité compétente en charge du traitement de données PNR
246. Selon l’article 5 de l’accord envisagé, seule « l’autorité canadienne compétente » est réputée fournir un niveau de protection adéquate, lorsqu’elle traite et utilise des données PNR, pour autant qu’elle se conforme à l’accord envisagé.
247. Comme l’a relevé le Parlement, l’identité de cette autorité n’est pas mentionnée dans l’accord envisagé. Il est toutefois indubitable, au vu de l’accord de 2006, et comme le confirme la lettre de la mission du Canada auprès de l’Union européenne en date du 25 juin 2014, notifiée à la Commission, en application de l’article 30, paragraphe 2, sous a), de l’accord envisagé et transmise à la Cour dans le cadre de la présente procédure, qu’il s’agit de l’ASFC.
248. Plus que l’identité de cette autorité, c’est le caractère souvent imprécis des stipulations de l’accord envisagé qui, du point de vue du respect du principe de proportionnalité, suscite des doutes quant aux autorités susceptibles de traiter des données PNR.
249. Plusieurs stipulations de l’accord envisagé se réfèrent en effet génériquement « au Canada » et non à « l’autorité canadienne compétente », pourtant seule autorité réputée fournir un niveau de protection adéquat pour le traitement et l’utilisation de données PNR, en application de l’accord envisagé. Il en est ainsi de l’article 3, paragraphe 5, de l’accord envisagé, qui élargit, en outre, comme je l’ai examiné plus haut (94), les finalités pour lesquelles les données PNR peuvent être traitées, de l’article 8 de l’accord envisagé, de l’article 12, paragraphe 3, de l’accord envisagé relatif à la divulgation à toute personne, ainsi que de l’article 16 de l’accord envisagé portant sur la conservation des données PNR (95).
250. Contrairement à ce que la Commission a fait valoir à l’audience, la substitution de l’expression « l’autorité canadienne compétente » par la dénomination générique « Canada » jette un doute quant au nombre d’autorités autorisées à traiter des données, qui plus est lorsque l’article 18 de l’accord envisagé autorise, sous les conditions que cet article énumère, l’autorité canadienne compétente à divulguer des données PNR à d’autres autorités publiques au Canada (96).
251. Les stipulations de l’accord envisagé ne me paraissent donc pas suffisamment claires et précises quant à l’identification de l’autorité chargée du traitement des données PNR, de manière à assurer la protection et la sécurité desdites données.
– Sur le traitement automatisé des données PNR
252. Il ressort des observations présentées à la Cour que la principale valeur ajoutée du traitement des données PNR est la confrontation des données recueillies à des scenarii ou à des critères d’évaluation préétablis de risque ou à des bases de données permettant, à l’aide du traitement automatisé, d’identifier des « cibles », susceptibles de faire l’objet ultérieurement d’un contrôle plus poussé. En pratique, selon les données communiquées par l’ASFC à la Commission et au gouvernement du Royaume-Uni et qui ont été transmises à la Cour par ces parties intéressées, l’application de ces techniques a permis d’identifier environ 9 500 « cibles » par traitement automatisé des données PNR sur les 28 millions de passagers ayant emprunté un vol entre le Canada et l’Union entre le mois d’avril 2014 et le mois de mars 2015.
253. Cependant, aucune stipulation de l’accord envisagé ne concerne précisément ni ces bases de données ni ces scenarii ou critères d’évaluation, lesquels devraient donc continuer à être déterminés et utilisés à l’entière discrétion des autorités canadiennes.
254. Certes, l’accord envisagé stipule que le Canada veille à ce que les garanties applicables au traitement de données PNR s’appliquent équitablement à l’ensemble des passagers, sans discrimination illégale (article 7 de l’accord envisagé) et qu’il s’abstient de prendre toute décision affectant négativement de manière significative un passager sur le seul fondement du traitement automatisé des données PNR (article 15 de l’accord envisagé).
255. J’ai néanmoins la conviction que, au vu de la pondération équilibrée entre les deux objectifs poursuivis par l’accord envisagé et de l’importance pratique considérable de cet aspect, la confrontation des données PNR avec ces scenarii ou ces critères d’évaluation préétablis étant susceptibles de conduire, comme l’ont admis certaines parties intéressées, à identifier des « cibles » faussement positives, l’accord envisagé devrait contenir un certain nombre de principes et de règles explicites en ce qui concerne tant les scenarii ou les critères d’évaluation préétablis que les bases de données à l’égard desquels les données PNR sont confrontées.
256. L’encadrement et la détermination précis des scenarii et des critères d’évaluation préétablis doivent pouvoir permettre, dans une large mesure, d’aboutir à des résultats ciblant des individus à l’égard desquels pourraient peser un « soupçon raisonnable » de participation à des infractions terroristes ou de criminalité transnationale grave (97).
257. Il n’est pas strictement nécessaire pour la Cour d’indiquer les principes qui devraient régir la détermination desdits scenarii et critères d’évaluation ou les bases de données à l’égard desquels les données PNR sont confrontées.
258. Pour ma part, je considère qu’il conviendrait, au minimum, que l’accord envisagé stipule expressément que ni les scenarii ou les critères d’évaluation préétablis ni les bases de données utilisés ne peuvent se fonder sur l’origine raciale ou ethnique d’une personne, sur ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance à un syndicat, son état de santé ou son orientation sexuelle. Par ailleurs, les critères, les scenarii et les bases de données devraient de manière expresse être circonscrits aux fins et aux infractions prévues à l’article 3 de l’accord envisagé.
259. De surcroît, l’accord envisagé devrait à mon sens spécifier plus clairement que ne le fait actuellement l’article 15 de l’accord envisagé que, dans l’hypothèse où la confrontation de données PNR aux critères et aux scenarii préétablis conduit à un résultat positif, ce résultat doit être examiné par des moyens non automatisés. Cette garantie pourrait permettre de diminuer le nombre de personnes qui seraient susceptibles de faire l’objet d’un contrôle physique ultérieur plus poussé.
260. En outre, pour être limités au strict nécessaire, ces critères, scenarii et bases de données pertinents, ainsi que leur réexamen, devraient, à mon sens, faire l’objet d’un contrôle de la part de l’autorité publique indépendante visée dans l’accord envisagé, à savoir le Commissaire canadien à la protection de la vie privée (98), et faire l’objet d’un rapport sur leur mise en œuvre, transmis aux institutions et aux organes compétents de l’Union, dans le contexte de l’article 26 de l’accord envisagé qui règle l’examen et l’évaluation conjoints de la mise en œuvre de ce dernier.
261. Par conséquent, j’estime que, en omettant d’établir des principes et des règle explicites se rapportant à l’établissement et à l’utilisation des scenarii et des critères préétablis ainsi que des bases de données à l’égard desquels les données PNR sont confrontées par traitement automatisé, les parties contractantes n’ont pas effectué une pondération équilibrée des deux objectifs poursuivis par l’accord envisagé.
– Sur l’accès aux données PNR
262. Une fois que les passagers dont les données PNR ont fait l’objet d’un traitement automatisé, qui présentent un profil correspondant aux scenarii ou aux critères préétablis, sont identifiés, il ressort des explications fournies à la Cour que les fonctionnaires de l’ASFC accèdent aux données de ces passagers afin de déterminer s’il y a lieu de les soumettre à un contrôle plus poussé. En pratique, selon les informations communiquées par le gouvernement du Royaume‑Uni et la Commission , parmi les 9 500 « cibles » identifiées entre le mois d’avril 2014 et le mois de mars 2015, 1 765 personnes ont fait l’objet d’un contrôle approfondi pour des raisons liées à la sécurité publique nationale ou des raisons liées à une infraction de criminalité transnationale grave. Parmi ces personnes, 178 ont fait l’objet d’une arrestation pour une infraction de criminalité transnationale grave, en particulier liée au trafic de stupéfiants.
263. Dans l’arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238, points 62 et 66), la Cour a relevé, d’une part, que la directive 2006/24 ne prévoyait aucun critère objectif permettant de limiter le nombre de personnes autorisées à accéder aux données à caractère personnel en cause et ne subordonnait pas l’accès à ces données à un contrôle préalable effectué par une juridiction ou une entité administrative indépendante. D’autre part, cet acte n’envisageait pas non plus de règles contre les risques d’abus et contre tout accès ou utilisation illicites de ces données.
264. En revanche, il y a lieu de faire observer que les stipulations de l’accord envisagé satisfont en partie à ces exigences.
265. Comme déjà relevé, l’article 9, paragraphes 1 et 2, de l’accord envisagé exige que le Canada mette en place des mesures réglementaires, procédurales ou techniques visant à protéger les données PNR contre les accès, les traitements ou les pertes fortuits, illégaux ou non autorisés et assure notamment la sécurité, la confidentialité et l’intégrité des données, en appliquant en particulier des procédures de cryptage et de conservation des données dans un environnement physique sécurisé, protégé par des contrôles d’accès.
266. De plus, tant l’article 9, paragraphe 2, sous b), que l’article 16, paragraphe 2, de l’accord envisagé prévoient que le Canada limite l’accès aux données PNR à un nombre de fonctionnaires expressément habilités à cet effet. En matière de conservation des données PNR, l’article 16, paragraphe 4, de l’accord envisagé stipule également que les données dépersonnalisées par masquage ne peuvent être démasquées que s’il est nécessaire de procéder à des enquêtes relevant de l’article 3 de l’accord envisagé et, en fonction de la durée de conservation des données PNR concernées soit par un nombre restreint de fonctionnaires expressément habilités à cet effet, soit uniquement avec l’autorisation préalable du chef de l’autorité canadienne compétente ou d’un représentation de haut niveau mandaté spécialement par ce dernier.
267. Cependant, à l’instar de la directive 2006/24, l’accord envisagé ne spécifie pas les critères objectifs sur la base desquels les fonctionnaires ayant accès aux données PNR sont déterminés et si ces fonctionnaires relèvent tous des services de l’ASFC. Ces indications paraissent d’autant plus importantes que le groupe de fonctionnaires ayant accès auxdites données dans le contexte de l’article 9, paragraphe 2, de l’accord envisagé est, semble-t-il, plus large que celui, qualifié de « restreint », qui peut accéder aux données conservées au-delà de 30 jours dans le contexte de l’application de l’article 16, paragraphe 2, dudit accord. Les critères permettant de différencier les deux groupes de fonctionnaires habilités à accéder aux données PNR ne résultent cependant pas des stipulations de l’accord envisagé et sont donc laissés à la discrétion entière du Canada. Cette liberté ne me paraît pas satisfaire à l’exigence posée par l’arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), rappelée au point 263 des présentes conclusions.
268. De même, il convient de faire remarquer que l’accord envisagé ne prévoit aucunement que l’accès aux données PNR soit subordonné à un contrôle préalable d’une autorité indépendante, telle que le Commissaire canadien à la protection de la vie privée (99), ou d’une juridiction dont la décision pourrait limiter l’accès aux données ou leur utilisation et qui interviendrait à la suite d’une demande motivée de l’ASFC.
269. La mise en balance appropriée entre la poursuite efficace de la lutte contre le terrorisme et la criminalité transnationale grave et le respect d’un niveau élevé de protection des données à caractère personnel des passagers concernés n’exige toutefois pas nécessairement qu’un contrôle préalable de l’accès aux données PNR soit envisagé.
270. En effet, sans même qu’il soit besoin de vérifier si un tel contrôle préalable serait en pratique envisageable et suffisamment effectif, au vu notamment de la quantité de données à examiner et des ressources dont disposent les autorités indépendantes de contrôle, je relève que, dans le contexte du respect de l’article 8 de la CEDH par les autorités publiques ayant mis en place des mesures d’interceptions et de surveillance de communications privées, la Cour EDH a admis que, sauf circonstances particulières ayant notamment trait à la confidentialité des sources d’information des journalistes ou aux communications des avocats avec leurs clients, un contrôle ex ante de ces mesures par une autorité indépendante ou un magistrat ne constitue pas une exigence absolue, dès lors qu’est garanti, a posteriori, un contrôle juridictionnel étendu desdites mesures (100).
271. À cet égard, indépendamment des doutes que suscite la répartition des compétences de surveillance et de contrôle de l’ASFC entre « l’autorité publique indépendante » et « l’autorité créée par des moyens administratifs qui exerce ses fonctions de façon impartiale et qui a démontré son autonomie », sur lesquels je reviendrai ultérieurement (101), il importe de relever que l’article 14, paragraphe 2, de l’accord envisagé prévoit que le Canada doit veiller à ce que toute personne qui estime que ses droits ont été enfreints par une décision ou une mesure en rapport avec ses données PNR dispose d’un recours juridictionnel effectif, conformément à la législation canadienne. Il est indubitable, au regard du libellé de l’article 14, paragraphe 1, de l’accord envisagé et des explications fournies par les parties intéressées, que ce recours est ouvert contre toute décision portant sur l’accès aux données PNR des personnes concernées, indépendamment de leur nationalité, de leur domicile ou de leur présence sur le territoire canadien. Dans le cadre de la présente procédure d’examen préventif de la compatibilité des stipulations de l’accord envisagé avec les articles 7 et 8 de la Charte, la garantie d’un tel recours, dont l’efficacité n’a été mise en doute par aucune partie intéressée, me paraît satisfaire à la condition requise par ces dispositions, lues à la lumière de l’interprétation de l’article 8 de la CEDH retenue par la Cour EDH.
272. Par conséquent, je considère que le fait que l’accord envisagé ait omis de prévoir que l’accès par les fonctionnaires habilités de l’ASFC aux données PNR est subordonné à un contrôle préalable par une autorité administrative indépendante ou par une juridiction n’est pas incompatible avec les articles 7, 8 et l’article 52, paragraphe 1, de la Charte, dans la mesure où, comme cela est le cas, l’accord envisagé impose au Canada de garantir à toute personne concernée le droit de bénéficier d’un contrôle juridictionnel effectif a posteriori des décisions ou des mesures portant sur l’accès à ses données PNR.
273. En revanche, j’estime que, pour être limité au strict nécessaire, l’accord envisagé doit clairement spécifier que seuls les fonctionnaires de l’ASFC sont habilités à accéder auxdites données et prévoir des critères objectifs permettant de préciser leur nombre, eu égard aux différentes situations prévues aux articles 9 et 16 de l’accord envisagé.
– Sur la conservation des données PNR
274. Devant la Cour, les parties intéressées ont largement débattu des conséquences à tirer de l’arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), quant au caractère strictement nécessaire du régime de conservation des données PNR prévu à l’article 16 de l’accord envisagé.
275. D’une part, dans cet arrêt, la Cour a reproché au législateur de l’Union de ne pas avoir imposé que les données en cause dans cette affaire soient conservées sur le territoire de l’Union de telle sorte que le contrôle du respect des exigences de protection et de sécurité des données par une autorité indépendante, explicitement requis par l’article 8, paragraphe 3, de la Charte, n’était pas pleinement garanti (102).
276. D’autre part, quant à la durée de conservation d’au maximum deux ans prévue par la directive 2006/24, la Cour a critiqué le fait que cette dernière n’opérait pas de distinction entre les catégories de données en fonction de leur utilité aux fins de l’objectif poursuivi ou selon les personnes concernées et qu’elle n’était pas déterminée sur la base de critères objectifs (103).
277. Quant au premier point, il est évident que les données PNR relevant des stipulations de l’accord envisagé ne seront pas conservées sur le territoire de l’Union. Ce constat ne suffit cependant pas, à lui seul, à invalider le régime de conservation prévu à l’article 16 de l’accord envisagé, à moins que ledit accord ne garantisse pas pleinement le contrôle des exigences de protection et de sécurité par une autorité indépendante. Or, comme je l’examinerai ultérieurement, tandis que l’intention des parties contractantes est bien de respecter pleinement l’exigence imposée par l’article 8, paragraphe 3, de la Charte, l’article 10, paragraphe 1, de l’accord envisagé est libellé en termes trop ambigus pour garantir, en toute circonstance, l’existence d’un tel contrôle (104).
278. Quant à la durée de conservation des données PNR, il ressort de l’article 16, paragraphe 1, de l’accord envisagé que celle-ci est d’au maximum cinq ans à compter de la date de leur réception (105), à l’expiration de laquelle, le paragraphe 6 dudit article impose au Canada de détruire les données PNR.
279. Il est constant que la durée de conservation a été rallongée d’un an et demi par rapport à celle prévue dans l’accord de 2006. Par ailleurs, hormis les explications et les exemples fournis par certaines parties intéressées durant la procédure devant la Cour, qui sont liés, pour l’essentiel, à la durée de vie moyenne des réseaux internationaux de criminalité grave ainsi qu’à la durée et à la complexité des enquêtes portant sur ces réseaux, l’accord envisagé n’indique pas les raisons objectives qui ont conduit les parties contractantes à porter la durée de conservation des données PNR à cinq ans maximum.
280. J’estime que lesdites raisons objectives doivent être indiquées dans l’accord envisagé, ce qui permettrait a priori de garantir que cette durée est nécessaire aux fins poursuivies par l’accord envisagé. Pour être tout à fait clair sur ce point, cette considération vaut également en ce qui concerne l’article 16, paragraphe 5, de l’accord envisagé dont la portée, comme je l’ai déjà indiqué dans mes considérations relatives aux données sensibles qui doivent être exclues du champ d’application de cet accord, devrait, s’agissant de la conservation des autres données PNR d’une durée maximale de cinq ans, être circonscrite à la finalité décrite à l’article 3 de l’accord envisagé (106).
281. Il y a donc lieu de constater que les parties contractantes n’ont pas justifié la nécessité de conserver toutes les données PNR pour une période maximale de cinq ans.
282. La Cour pourrait, dans le cadre de la présente procédure, se borner à ce constat, sans donc devoir vérifier si la durée de conservation de cinq ans de toutes les données PNR de l’ensemble des passagers aériens entre le Canada et l’Union n’excède pas ce qui est strictement nécessaire pour réaliser la finalité sécuritaire de l’accord envisagé.
283. Dans l’hypothèse où la Cour considérerait néanmoins qu’il est opportun de consacrer quelques développements à cette question, je me permets de faire les remarques suivantes.
284. Tout d’abord, quant à la quantité de données PNR qui sont conservées, il est légitime, selon moi, de s’interroger si, au bout de plusieurs années, il est justifié de conserver certaines catégories de ces données, dès lors que l’autorité canadienne compétente dispose ou peut disposer par démasquage, conformément aux conditions prévues à l’article 16, paragraphe 3, de l’accord envisagé, des données PNR révélant les informations essentielles relatives à l’identité du ou des passagers du dossier PNR, à la date du voyage, aux moyens de paiement utilisés, à toutes les coordonnées disponibles, à l’itinéraire de voyage, aux coordonnées de l’agence ou de l’agent de voyage et aux informations relatives aux bagages. En particulier, je me demande si des informations sur le statut de grand voyageur et les programmes de fidélisation (rubrique 5 de l’annexe à l’accord envisagé), sur le statut d’enregistrement du voyageur (rubrique 13 de l’annexe), sur l’établissement du billet ou du prix du billet (rubrique 14 de l’annexe) et sur le partage des codes (rubrique 11 de l’annexe), qui renseigne uniquement, selon la Commission, sur le transporteur effectif, se révèlent être, après un certain nombre d’années de conservation, des informations ayant une véritable valeur ajoutée par rapport aux autres données PNR qui sont également conservées et qui peuvent être démasquées, dans le but de lutter contre le terrorisme et la criminalité transnationale grave.
285. Ensuite, par-delà les doutes que peut susciter le caractère strictement nécessaire de la durée de conservation de toutes les données PNR prévue par l’accord envisagé, les garanties offertes par l’article 16, paragraphe 3, de celui-ci en matière de « dépersonnalisation » par masquage me paraissent, en tout état de cause, insuffisantes pour assurer la protection et la sécurité des données à caractère personnel des passagers concernés.
286. Certes, cet article prévoit bien un masquage des noms de tous les passagers 30 jours après leur réception. Il précise également que les éléments de données PNR des catégories 6, 7, 17 et 18, énumérées à l’annexe de l’accord envisagé (107), sont masqués deux ans après la réception de ces données, si, concernant ces deux dernières catégories, ils permettent d’identifier une personne physique.
287. C’est justement le caractère exhaustif de cette énumération qui paraît préoccupant. En effet, d’autres rubriques de l’annexe à l’accord envisagé sont aussi susceptibles d’identifier directement une personne physique, sans qu’elles figurent dans la liste de l’article 16, paragraphe 3, de l’accord envisagé. Je pense surtout, à cet égard, aux informations disponibles sur les grands voyageurs et les programmes de fidélisation (rubrique 5 de l’annexe) et à toutes les informations disponibles relatives au paiement/à la facturation du billet (rubrique 8), qui comprennent, notamment, les détails relatifs au(x) moyen(s) de paiement utilisé(s).
288. Par conséquent, j’estime que, en omettant d’assurer une « dépersonnalisation » par masquage de toutes les données PNR permettant d’identifier directement un passager, les parties contractantes n’ont pas effectué une pondération équilibrée des objectifs poursuivis par l’accord envisagé.
289. Enfin, quant aux règles et aux modalités relatives au démasquage des données PNR, il importe de rappeler que l’article 16, paragraphe 4, de l’accord envisagé précise qu’une telle opération ne peut être effectuée que si, sur la base des informations disponibles, il est nécessaire de procéder à des enquêtes relevant de l’article 3 de l’accord envisagé soit, jusqu’à deux ans à compter de la réception initiale des données PNR, par un nombre restreint de fonctionnaires expressément habilités, soit, de deux à cinq ans à compter de la réception, uniquement avec l’autorisation préalable du chef de l’autorité canadienne compétente ou d’un représentation de haut niveau mandaté spécialement à cet effet par celui-ci.
290. Sous réserve des observations faites plus haut quant aux critères objectifs permettant de déterminer les fonctionnaires habilités à accéder aux données (108) et à celles, qui suivront, relatives à la surveillance de l’autorité canadienne compétente par une autorité publique indépendante (109), je considère que, en soi, l’article 16, paragraphe 4, de l’accord envisagé n’excède pas ce qui est strictement nécessaire.
– Sur la divulgation et le transfert ultérieur des données PNR
291. Les articles 12, 18 et 19 de l’accord envisagé concernent directement la divulgation des données PNR.
292. L’article 12 de l’accord envisagé, qui est intitulé « accès pour les particuliers », apparaît de prime abord exempt de toute critique, puisqu’il vise à assurer l’accès de toute personne à ses propres données PNR.
293. Le paragraphe 3 de cet article me paraît toutefois élargir, outre mesure, les possibilités d’accès aux données PNR et à des informations qui en sont extraites, à toute personne, sans que des garanties précises soient prévues. L’article 12, paragraphe 3, de l’accord envisagé octroie en effet le droit au Canada de « divulguer toute information pour autant qu’il se conforme à exigences et à des limites juridiques raisonnables [...], dans le respect de l’intérêt légitime de la personne concernée ». Or, ni les destinataires de cette « information » ni l’usage qui en est fait ne sont circonscrits dans l’accord envisagé. Il est donc parfaitement possible que cette information puisse être communiquée à toute personne physique ou morale, comme par exemple un organisme bancaire, dans la mesure où le Canada considère que la divulgation d’une telle information n’excède pas des limites juridiques « raisonnables », lesquelles, de surcroît, ne sont pas définies dans l’accord envisagé.
294. Eu égard notamment au caractère particulièrement vague et large de son libellé, l’article 12, paragraphe 3, de l’accord envisagé me paraît donc dépasser ce qui est strictement nécessaire pour réaliser l’objectif de sécurité publique poursuivi par l’accord envisagé.
295. Quant aux articles 18 et 19 de l’accord envisagé, ceux-ci portent respectivement sur la divulgation par l’autorité canadienne compétente de données PNR à d’autres autorités publiques au Canada et à d’autres autorités publiques de pays autres que les États membres de l’Union.
296. À l’instar du Parlement, je considère que, dans la mesure où le « niveau de protection adéquat », réputé comme satisfaisant à celui garanti en droit de l’Union ne concerne que le respect par l’autorité canadienne compétente des stipulations de l’accord envisagé, les parties contractantes doivent garantir que ce niveau de protection ne puisse pas être contourné par des transferts de données à caractère personnel à d’autres autorités publiques canadiennes ou vers des pays tiers (110).
297. Il est indéniable que les articles 18 et 19 de l’accord envisagé subordonnent le transfert ultérieur de telles données ou des informations analytiques contenant des données PNR à des conditions cumulatives strictes, dont quatre de ces conditions sont identiques. Ainsi, ces données et ces informations ne sont communiquées que si les autorités publiques en question possèdent des fonctions directement liées au domaine couvert par l’article 3 de l’accord envisagé, qu’au cas par cas et sous réserve que les circonstances du cas particulier rendent la communication nécessaire aux fins énoncées audit article 3. De plus, il est précisé que seul le nombre minimal nécessaire de données PNR ou d’informations analytiques est communiqué (111).
298. Les garanties offertes par ces deux stipulations divergent cependant quant aux autres conditions.
299. Tout d’abord, tandis que, selon l’article 18 de l’accord envisagé, les autres autorités publiques canadiennes destinataires de données PNR doivent offrir « une protection équivalente aux mesures de garantie prévues dans [l’accord envisagé] », l’article 19, paragraphe 1, sous e), dudit accord énonce que l’autorité canadienne compétente doit s’être « assurée » que l’autorité étrangère destinatrice applique soit des normes de protection des données PNR équivalentes à celles prévues dans l’accord envisagé, conformément aux accords et aux arrangements contenant ces normes, soit les normes de protection de ces données dont elle a convenues avec l’Union.
300. Dans les deux cas de figure, il est constant qu’il incombe exclusivement à l’autorité canadienne compétente, à savoir l’ASFC, de vérifier le caractère adéquat de la protection offerte par l’autorité publique destinatrice. Ni l’examen de l’ASFC ni la décision éventuelle de divulgation des données PNR ne sont soumis à un contrôle ex ante par une autorité indépendante ou par un magistrat. De plus, l’accord envisagé ne prévoit aucunement que l’intention de transférer des données PNR d’un ressortissant d’un État membre de l’Union fasse l’objet, à tout le moins, d’une information préalable aux autorités compétentes de l’État membre en question et/ou à la Commission avant toute communication effective. En effet, l’article 18 de l’accord envisagé est silencieux sur cette dernière possibilité, tandis que l’article 19, paragraphe 2, de celui-ci ne prévoit qu’une information a posteriori « dès que possible » des autorités compétentes de l’État membre en cause.
301. Or, les garanties supplémentaires évoquées au point précédent devraient, selon moi, être assurées.
302. D’une part, un simple contrôle a posteriori de la divulgation de ces données ne permettra ni de pallier une appréciation erronée du niveau de protection offert par l’autorité publique destinatrice ni de restaurer le caractère privé et confidentiel de ces données une fois qu’elles auront été transmises à l’autorité publique destinatrice et utilisées par cette dernière (112). Cela est tout particulièrement vrai pour la divulgation de données vers un pays tiers, dont l’utilisation ultérieure échappera même à la compétence et au contrôle ex post des autorités et des juridictions canadiennes.
303. D’autre part, une information préalable de la Commission et des autorités compétentes de l’État membre, duquel relève le ressortissant dont les données PNR font l’objet d’un tel transfert, pourront s’assurer que l’examen du « niveau de protection équivalent » a bien été mené. En outre, sous un autre angle, une telle information préalable, ‑ dans la mesure où le transfert de données PNR en application des articles 18 et 19 de l’accord envisagé ne pourra se réaliser que dans des cas particuliers et des circonstances spécifiques dûment motivées et donc dans des situations où il y a lieu de supposer que des soupçons importants pèsent sur la personne concernée ‑, est notamment de nature à contribuer à renforcer la coopération entre les autorités compétentes du Canada, de l’Union et de ses États membres, en cohérence avec l’objectif de prévention et de détection d’infractions terroristes et d’actes de criminalité transnationale grave, recherché par l’accord envisagé.
304. Ensuite, il y a lieu de relever que l’article 18, paragraphe 1, sous f), de l’accord envisagé interdit à l’autorité publique canadienne destinataire de communiquer ultérieurement les données PNR à une autre entité, à moins d’y être autorisée par l’ASFC, dans le respect des conditions prévue au même paragraphe. En revanche, l’article 19 de l’accord envisagé n’impose aucunement à cette dernière autorité qu’elle se soit assurée, préalablement à tout transfert de données PNR, que l’autorité publique destinatrice d’un pays tiers ne puisse pas elle-même ultérieurement communiquer lesdites données à une autre entité, le cas échéant, d’un autre pays tiers.
305. Or, le risque qu’une telle situation puisse se réaliser n’étant pas exclu, ce qui aurait pour effet de contourner le niveau garanti par le droit de l’Union en matière de protection des données à caractère personnel, il y a lieu de constater que l’article 19 de l’accord envisagé autorise des ingérences injustifiées dans les droits fondamentaux garantis par les articles 7 et 8 de la Charte (113).
– Sur les mesures de surveillance et de contrôles administratif et juridictionnel
306. Exigé tant par l’article 8, paragraphe 3, de la Charte que par l’article 16, paragraphe 2, second alinéa, TFUE, le contrôle par une autorité indépendante constitue un élément essentiel du respect de la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans l’Union (114).
307. Il résulte des stipulations de l’accord envisagé que les parties contractantes sont conscientes de cette exigence, même si, comme je vais y revenir, l’accord envisagé n’y satisfait pas entièrement.
308. Dans l’objectif d’assurer que le niveau de protection offert par l’autorité canadienne compétente, lorsqu’elle traite et utilise des données PNR, soit, selon l’article 5 de l’accord envisagé, « adéquat au sens de la législation de l’Union [...] en matière de protection des données », celle-ci doit, notamment, se conformer aux mesures prévues à l’article 10 de l’accord envisagé, c’est-à-dire au contrôle par une « autorité de surveillance ». Cette autorité doit disposer de « réels pouvoirs d’enquête sur le respect des règles relatives à la collecte, à l’utilisation, à la divulgation, à la conservation ou à l’élimination des données PNR ». Ces pouvoirs comprennent aussi celui d’effectuer des contrôles de conformité, de faire des recommandations à l’autorité canadienne compétente et de signaler des infractions à la législation liée à l’accord envisagé à des fins de poursuites pénales ou de mesures disciplinaires. En vertu de l’article 14, paragraphe 1, de l’accord envisagé, l’autorité de surveillance reçoit et instruit les réclamations déposées par les particuliers en ce qui concerne une demande d’accès, une correction ou une mention (annotation) relative à des données PNR les concernant et y répond.
309. Il en résulte que l’intention des parties contractantes est bien de garantir que le traitement des données à caractère personnel effectué par l’ASFC soit soumis à un mécanisme efficace de détection et de contrôle d’éventuelles violations des règles de l’accord envisagé qui assure la protection de la vie privée et des données à caractère personnel des passagers, en vue de garantir un niveau de protection voulu comme « substantiellement équivalent » à celui dont jouirait ces personnes si leurs données étaient traitées et conservées sur le territoire de l’Union.
310. Il s’ensuit que le contrôle par une autorité indépendante, exigé notamment par l’article 8, paragraphe 3, de la Charte, s’applique pleinement en l’espèce.
311. Or, la particularité de l’autorité de surveillance mise en place dans l’accord envisagé, qui attise les critiques du Parlement et du CEPD quant à sa totale indépendance, est qu’elle se révèle être bicéphale. L’article 10 de l’accord envisagé présente, en effet, cette autorité comme étant soit une « autorité publique indépendante », soit une « autorité créée par des moyens administratifs qui exerce ses fonctions de façon impartiale et qui a démontré son autonomie ».
312. La première de ces autorités, comme cela résulte de la lettre du 25 juin 2014 de la mission du Canada auprès de l’Union européenne (115) et des explications de la Commission lors de la procédure devant la Cour, désigne le Commissaire canadien à la protection de la vie privée, dont en particulier le statut, le mode de désignation, la durée de mandat, de sept ans inamovibles et les pouvoirs d’enquête, y compris de sa propre initiative, et de recommandation sont précisés dans la loi canadienne de 1985 sur la protection des renseignements personnels (116). Il convient de relever qu’aucune des parties intéressées n’a mis en doute le fait que le Commissaire canadien à la protection de la vie privée, qui rapporte exclusivement aux chambres du Parlement canadien, jouisse d’une indépendance et d’une impartialité lui permettant d’exercer ses missions sans être soumis à une quelconque influence ou instruction extérieure, en particulier de l’exécutif (117).
313. Il ressort des explications fournies à la Cour que, en vertu de la loi sur la protection des renseignements personnels, les compétences du Commissaire canadien à la protection de la vie privée concernent les plaintes de tout individu à l’encontre d’une violation des règles sur la vie privée et la protection des données à caractère personnel par une institution publique fédérale du Canada.
314. Toutefois, la formulation alternative de l’article 10, paragraphe 1, de l’accord envisagé laisse entendre que le contrôle exercé sur le traitement des données PNR par l’ASFC pourrait être entièrement assumé par « l’autorité créée par des moyens administratifs qui exerce ses fonctions de façon impartiale et qui a démontré son autonomie », c’est-à-dire par la Direction des recours de l’ASFC, laquelle a été instituée sous l’empire de l’accord de 2006.
315. Or, indépendamment des garanties indiquées dans la lettre du 25 juin 2014 de la mission du Canada auprès de l’Union européenne selon lesquelles la Direction des recours de l’ASFC ne fera l’objet d’aucune instruction de la part des autres entités opérationnelles de cette dernière, elle demeure, à l’instar de toutes les autres entités de l’ASFC, directement subordonnée à son ministre de tutelle, dont elle peut recevoir des instructions (118). Étant susceptible d’être soumise à l’emprise d’influences, notamment, de nature politique de la part de son autorité de tutelle ou plus généralement de l’exécutif, la Direction des recours de l’ASFC ne saurait être considérée comme une autorité de contrôle indépendante, au sens de l’article 8, paragraphe 3, de la Charte.
316. Par conséquent, dans la mesure où l’article 10 de l’accord envisagé prévoit, en substance, que l’autorité de surveillance peut alternativement être soit le Commissaire canadien à la protection de la vie privée, soit la Direction des recours de l’ASFC, cette disposition ne constitue pas une règle claire et précise garantissant de manière systématique un contrôle par une autorité indépendante, au sens de l’article 8, paragraphe 3, de la Charte, du respect de la vie privée et de la protection des données à caractère personnel des individus concernés par le traitement des données PNR prévu par l’accord envisagé. Il appartient aux parties contractantes de dissiper l’ambiguïté qui résulte de la rédaction de l’article 10, paragraphe 1, dudit accord et de veiller à ce que le contrôle du respect des droits fondamentaux garantis par les articles 7 et 8 de la Charte soit confié à une autorité de contrôle indépendante, au sens du paragraphe 3 de cette dernière disposition.
317. Quant à l’article 14, paragraphe 1, de l’accord envisagé, qui porte sur les recours administratifs, il ressort des explications de la Commission que, en vertu de la loi canadienne de 1985 sur la protection des renseignements personnels, le Commissaire canadien à la protection de la vie privée n’est pas compétent pour connaître des demandes d’accès aux données PNR, de correction ou d’annotation de la part de personnes non présentes au Canada, c’est-à-dire des demandes formulées par ces personnes sur la base des articles 12 et 13 de l’accord envisagé.
318. Selon les explications fournies par la Commission, l’instruction des demandes d’accès, de correction ou d’annotation ainsi que les réponses à ces demandes qui sont introduites par des individus non présents au Canada, ce qui constitue indubitablement la majeure partie des citoyens de l’Union, incombe à la Direction des recours de l’ASFC.
319. Dans ses observations ainsi que dans ses réponses aux questions posées par la Cour, la Commission a indiqué qu’une personne dont la demande d’accès à ses données PNR, ou de rectification ou d’annotation desdites données, aurait été rejetée par la Direction des recours de l’ASFC pourrait, par l’intermédiaire d’un mandataire présent sur le territoire canadien, déposer une plainte auprès du Commissaire canadien à la protection de la vie privée.
320. L’existence de cette voie de recours administratif auprès du Commissaire canadien à la protection de la vie privée ne figure cependant ni dans l’accord envisagé ni ne ressort d’aucune disposition du droit canadien portée à la connaissance de la Cour. Pour autant qu’elle soit effectivement envisageable, j’estime que cette possibilité devrait être clairement indiquée dans l’accord envisagé, de sorte à permettre à toute personne de connaître la portée des droits procéduraux qui lui sont reconnus par cet acte. Si l’existence d’une telle possibilité s’avère, en définitive, inexacte, le Commissaire canadien à la protection de la vie privée devrait, à mon sens, pouvoir assumer directement la mission de répondre à toute demande d’accès, de rectification ou d’annotation, introduite par un particulier n’étant pas présent au Canada. En effet, si aucune de ces options n’est prévue, aucune autorité de contrôle indépendante ne serait compétente pour examiner ce type de demandes, alors même qu’il s’agit précisément de demandes qui seront exclusivement formées par des citoyens de l’Union à l’égard de leurs propres données à caractère personnel. La possibilité qu’un tel cas de figure se présente signifierait, à mes yeux, que les parties contractantes n’ont pas effectué une pondération équilibrée entre les deux objectifs poursuivis par l’accord envisagé.
321. En tout état de cause, l’article 14, paragraphe 1, de l’accord envisagé devrait clairement préciser que les demandes d’accès, de correction et d’annotation effectuées par des passagers n’étant pas présent sur le territoire canadien peuvent être portées, soit directement, soit par la voie d’un recours administratif, devant une autorité publique indépendante.
322. En revanche, et par souci d’exhaustivité, il ne me semble pas que les critiques avancées par le Parlement selon lesquelles l’article 14, paragraphe 2, de l’accord envisagé serait susceptible d’enfreindre l’article 47 de la Charte soient fondées.
323. L’article 14, paragraphe 2, de l’accord envisagé prévoit en effet que le Canada veille à ce que toute personne qui estime que ses droits ont été enfreints par une décision ou une mesure en rapport avec ses données PNR dispose d’un recours juridictionnel effectif, conformément à la législation canadienne, ou de toute autre voie de recours susceptible de conduire à une indemnisation.
324. Comme le Conseil l’a fait valoir, cette disposition assure que les particuliers, indépendamment de leur nationalité, de leur domicile ou du fait qu’ils soient ou non présents au Canada, puissent disposer d’une protection juridictionnelle effective, au sens de l’article 47 de la Charte. Le fait que l’article 14, paragraphe 2, de l’accord envisagé prévoit que le « recours juridictionnel effectif » puisse être complété par une voie de recours en indemnité est de nature à faire comprendre que le Canada s’engage à assurer que toutes les personnes concernées puissent exercer des voies de droit de manière effective.
325. J’ajoute qu’il résulte de l’article 14, paragraphe 1, de l’accord envisagé que l’autorité ayant rejeté une demande d’accès, de correction ou d’annotation doit informer le plaignant des modalités d’introduction du recours juridictionnel visé au paragraphe 2 dudit article, ce qui assure une information adéquate et individuelle des citoyens de l’Union concernés.
326. Contrairement à ce qu’insinue le Parlement en référence au point 95 de l’arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650), une telle situation n’est pas comparable à celle ayant conduit la Cour à constater, dans cette affaire, une atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective. En effet, il était question dans cette affaire de la réglementation d’un pays tiers que la Commission avait considérée comme assurant un niveau de protection des droits fondamentaux adéquat, mais qui, au vu des renseignements acquis ultérieurement, ne prévoyait aucune possibilité pour le justiciable d’exercer des voies de droit afin d’accéder à ses propres données à caractère personnel ou d’obtenir la rectification ou la suppression de telles données.
327. L’accord envisagé, qui constitue un engagement international pour le Canada, impose bien à ce dernier d’assurer que de telles voies de droit soient mises en place et soient effectives. Dans cette mesure et eu égard à la nature préventive de la procédure d’avis, ce constat est suffisant, à mon sens, pour conclure que l’article 14, paragraphe 2, de l’accord envisagé est compatible avec l’article 47 de la Charte (119).
VIII – Conclusion
328. Eu égard à ce qui précède, je propose à la Cour de répondre à la demande d’avis du Parlement dans le sens suivant :
1) L’acte du Conseil portant conclusion de l’accord envisagé entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers (PNR), signé le 25 juin 2014, doit être fondé sur l’article 16, paragraphe 2, premier alinéa, et l’article 87, paragraphe 2, sous a), TFUE, lus en combinaison avec l’article 218, paragraphe 6, sous a), v), TFUE.
2) L’accord envisagé est compatible avec l’article 16 TFUE et les articles 7, 8, et l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, à condition que :
– les catégories de données des dossiers passagers (PNR) des passagers aériens, énumérées à l’annexe de l’accord envisagé, soient libellées de manière claire et précise et que les données sensibles, au sens de l’accord envisagé, soient exclues du champ d’application de ce dernier ;
– les infractions relevant de la définition des formes graves de criminalité transnationale , prévue à l’article 3, paragraphe 3, de l’accord envisagé soient énumérées exhaustivement dans celui-ci ou dans une annexe à ce dernier ;
– l’accord envisagé identifie de manière suffisamment claire et précise l’autorité chargée du traitement des données des dossiers passagers, de manière à assurer la protection et la sécurité desdites données ;
– l’accord envisagé précise explicitement les principes et les règles applicables tant aux scenarii ou aux critères d’évaluation préétablis qu’aux bases de données à l’égard desquels les données des dossiers passagers sont confrontées dans le cadre du traitement automatisé de ces données, permettant de délimiter, dans une large mesure et de manière non discriminatoire, le nombre de personnes « ciblées » à celles sur lesquelles pèsent un soupçon raisonnable de participation à une infraction terroriste ou un acte grave de criminalité transnationale ;
– l’accord envisagé spécifie que seuls les fonctionnaires de l’autorité canadienne compétente sont habilités à accéder aux données des dossiers passagers et prévoit des critères objectifs permettant de préciser le nombre de ces fonctionnaires ;
– l’accord envisagé indique, de manière motivée, les raisons objectives justifiant la nécessité de conserver toutes les données des dossiers passagers pour une période maximale de cinq ans ;
– dans l’hypothèse où la durée de conservation maximale de cinq ans des données des dossiers passagers est considérée comme étant nécessaire, l’accord envisagé assure une « dépersonnalisation » par masquage de toutes les données PNR permettant d’identifier directement un passager aérien ;
– l’accord envisagé subordonne l’examen effectué par l’autorité canadienne compétente relatif au niveau de protection assuré par d’autres autorités publiques canadiennes et par celles de pays tiers, ainsi que la décision éventuelle de divulguer, au cas par cas, des données des dossiers passagers auxdites autorités, à un contrôle ex ante par une autorité indépendante ou par une juridiction ;
– l’intention de transférer des données des dossiers passagers d’un ressortissant d’un État membre de l’Union européenne à une autre autorité publique canadienne ou à une autorité publique d’un pays tiers fasse l’objet d’une information préalable aux autorités compétentes de l’État membre en question et/ou à la Commission européenne avant toute communication effective ;
– l’accord envisagé garantisse de manière systématique, par une règle claire et précise, un contrôle par une autorité indépendante, au sens de l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne, du respect de la vie privée et de la protection des données à caractère personnel des passagers dont les données des dossiers passagers sont traitées, et
– l’accord envisagé précise clairement que les demandes d’accès, de correction et d’annotation effectuées par des passagers n’étant pas présents sur le territoire canadien peuvent être portées, soit directement, soit par la voie d’un recours administratif, devant une autorité publique indépendante.
3) L’accord envisagé est incompatible avec les articles 7, 8 et l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne dans la mesure où :
– l’article 3, paragraphe 5, de l’accord envisagé permet, au-delà de ce qui est strictement nécessaire, d’élargir les possibilités de traitement de données des dossiers passagers, indépendamment de la finalité, indiquée à l’article 3 dudit accord, de prévention et de détection des infractions terroristes et des actes graves de criminalité transnationale ;
– l’article 8 de l’accord envisagé prévoit le traitement, l’utilisation et la conservation par le Canada de données des dossiers passagers contenant des données sensibles ;
– l’article 12, paragraphe 3, de l’accord envisagé accorde au Canada, au-delà de ce qui est strictement nécessaire, le droit de divulguer toute information pour autant qu’il se conforme à des exigences et à des limites juridiques raisonnables ;
– l’article 16, paragraphe 5, de l’accord envisagé autorise le Canada à conserver des données des dossiers passagers pour une période maximale de cinq ans pour, notamment, toute action spécifique, vérification, enquête ou procédure juridictionnelle , sans que soit requis un lien quelconque avec la finalité, indiquée à l’article 3 dudit accord, de prévention et de détection des infractions terroristes et des actes graves de criminalité transnationale , et
– l’article 19 de l’accord envisagé admet que le transfert de données des dossiers passagers à une autorité publique d’un pays tiers puisse être réalisé sans que l’autorité canadienne compétente, sous le contrôle d’une autorité indépendante, se soit préalablement assurée que l’autorité publique destinatrice du pays tiers en question ne puisse pas elle-même ultérieurement communiquer lesdites données à une autre entité, le cas échéant, d’un autre pays tiers.