AVIZUL 1/15 AL CURȚII (Marea Cameră)
26 iulie 2017
Cuprins
I. Cererea de aviz
II. Cadrul juridic
A. Convenția de la Chicago
B. Protocolul (nr. 21) privind poziția Regatului Unit și a Irlandei cu privire la spațiul de libertate, securitate și justiție
C. Protocolul (nr. 22) privind poziția Danemarcei
D. Directiva 95/46/CE
E. Directiva 2004/82/CE
III. Istoricul acordului preconizat
IV. Propunerea de decizie a Consiliului privind încheierea acordului preconizat
V. Acordul preconizat
VI. Aprecieri formulate de Parlament în cererea de aviz
A. Cu privire la temeiul juridic adecvat al deciziei Consiliului privind încheierea acordului preconizat
B. Cu privire la compatibilitatea acordului preconizat cu dispozițiile Tratatului FUE și ale Cartei drepturilor fundamentale a Uniunii Europene
VII. Rezumatul observațiilor prezentate Curții
A. Cu privire la admisibilitatea cererii de aviz
B. Cu privire la temeiul juridic adecvat al deciziei Consiliului privind încheierea acordului preconizat
C. Cu privire la compatibilitatea acordului preconizat cu dispozițiile Tratatului FUE și ale cartei
VIII. Poziția Curții
A. Cu privire la admisibilitatea cererii de aviz
B. Cu privire la temeiul juridic adecvat al deciziei Consiliului privind încheierea acordului preconizat
1. Cu privire la finalitatea și la conținutul acordului preconizat
2. Cu privire la temeiul juridic adecvat în raport cu Tratatul FUE
3. Cu privire la compatibilitatea procedurilor prevăzute la articolul 16 alineatul (2) și la articolul 87 alineatul (2) litera (a) TFUE
C. Cu privire la compatibilitatea acordului preconizat cu dispozițiile Tratatului FUE și ale cartei
1. Cu privire la drepturile fundamentale vizate și la ingerința în aceste drepturi
2. Cu privire la justificarea ingerințelor care rezultă din acordul preconizat
a) Cu privire la prelucrarea datelor PNR vizată de acordul preconizat
b) Cu privire la obiectivul de interes general și la respectarea substanței drepturilor fundamentale în cauză
c) Cu privire la caracterul adecvat al prelucrării datelor PNR vizate de acordul preconizat în raport cu obiectivul de asigurare a securității publice
d) Cu privire la caracterul necesar al ingerințelor pe care le presupune acordul preconizat
1) Cu privire la datele PNR vizate de acordul preconizat
i) Cu privire la caracterul suficient de precis al acordului preconizat în privința datelor PNR care trebuie transferate
ii) Cu privire la datele sensibile
2) Cu privire la prelucrarea automată a datelor PNR
3) Cu privire la finalitățile prelucrării datelor PNR
i) Prevenirea, detectarea și urmărirea infracțiunilor de terorism sau a infracțiunilor transnaționale grave
ii) Alte finalități
4) Cu privire la autoritățile canadiene vizate de acordul preconizat
5) Cu privire la pasagerii aerieni vizați
6) Cu privire la păstrarea și la utilizarea datelor PNR
i) Cu privire la păstrarea și la utilizarea datelor PNR înainte de sosirea pasagerilor aerieni, în timpul șederii lor în Canada și la ieșirea lor din țară
ii) Cu privire la păstrarea și la utilizarea datelor PNR după plecarea pasagerilor aerieni din Canada
7) Cu privire la divulgarea datelor PNR
i) Comunicarea datelor PNR către autorități publice
ii) Divulgarea datelor PNR către particulari
3. Cu privire la drepturile individuale ale pasagerilor aerieni
a) Cu privire la dreptul de informare, de acces și de rectificare
b) Cu privire la dreptul la o cale de atac
4. Cu privire la supravegherea garanțiilor în domeniul protecției datelor PNR
IX. Răspunsul la cererea de aviz
„Aviz dat în temeiul articolului 218 alineatul (11) TFUE – Proiect de acord între Canada și Uniunea Europeană – Transferul datelor din registrul cu numele pasagerilor aerieni dinspre Uniune spre Canada – Temeiuri juridice adecvate – Articolul 16 alineatul (2), articolul 82 alineatul (1) al doilea paragraf litera (d) și articolul 87 alineatul (2) litera (a) TFUE – Compatibilitatea cu articolele 7 și 8, precum și cu articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene”
În procedura de aviz 1/15,
având ca obiect o cerere de aviz formulată în temeiul articolului 218 alineatul (11) TFUE de Parlamentul European la 30 ianuarie 2015,
Curtea (Marea Cameră),
compusă din domnul K. Lenaerts, președinte, domnul A. Tizzano, vicepreședinte, domnii L. Bay Larsen, T. von Danwitz (raportor) și J. L. da Cruz Vilaça, doamnele M. Berger și A. Prechal și domnul M. Vilaras, președinți de cameră, și domnii A. Rosas, E. Levits, D. Šváby, E. Jarašiūnas și C. Lycourgos, judecători,
avocat general: domnul P. Mengozzi,
grefier: domnul V. Tourrès, administrator,
având în vedere procedura scrisă și în urma ședinței din 5 aprilie 2016,
luând în considerare observațiile prezentate:
– pentru Parlamentul European, de F. Drexler, de A. Caiola și de D. Moore, în calitate de agenți;
– pentru guvernul bulgar, de M. Georgieva și de E. Petranova, în calitate de agenți;
– pentru guvernul estonian, de K. Kraavi‑Käerdi, în calitate de agent;
– pentru Irlanda, de E. Creedon, de G. Hodge și de A. Joyce, în calitate de agenți, asistați de D. Fennelly, BL, și de C. Doyle, BL;
– pentru guvernul spaniol, de A. Rubio González și de M. Sampol Pucurull, în calitate de agenți;
– pentru guvernul francez, de G. de Bergues, de D. Colas și de F.‑X. Bréchot, în calitate de agenți;
– pentru guvernul Regatului Unit, de C. Brodie și de D. Robertson, în calitate de agenți, asistați de D. Beard, QC, și de S. Ford, barrister;
– pentru Consiliul Uniunii Europene, de M.‑M. Joséphidès, de S. Boelaert și de E. Sitbon, în calitate de agenți;
– pentru Comisia Europeană, de P. Van Nuffel, de D. Nardi, de D. Maidani și de P. Costa de Oliveira, în calitate de agenți;
– pentru Autoritatea Europeană pentru Protecția Datelor (AEPD), de A. Buchta, de G. Zanfir și de R. Robert, în calitate de agenți,
după ascultarea concluziilor avocatului general în ședința din 8 septembrie 2016,
dă prezentul
Aviz
I. Cererea de aviz
1 Cererea de aviz prezentată Curții de Parlamentul European este formulată după cum urmează:
„Acordul preconizat [dintre Canada și Uniunea Europeană referitor la transferul și prelucrarea datelor din registrul cu numele pasagerilor] este compatibil cu dispozițiile tratatelor (articolul 16 TFUE) și cu Carta drepturilor fundamentale a Uniunii Europene [articolele 7 și 8 și articolul 52 alineatul (1)] în ceea ce privește dreptul persoanelor fizice la protecția datelor cu caracter personal?
Articolul 82 alineatul (1) al doilea paragraf litera (d) TFUE și articolul 87 alineatul (2) litera (a) TFUE constituie temeiul juridic adecvat al actului Consiliului [Uniunii Europene] privind încheierea acordului preconizat sau acest act trebuie să se întemeieze pe articolul 16 TFUE?”
2 Parlamentul a transmis Curții, printre alte înscrisuri, ca anexe la cererea sa de aviz:
– proiectul de acord dintre Canada și Uniunea Europeană privind transferul și prelucrarea datelor din registrul cu numele pasagerilor (denumit în continuare „acordul preconizat”);
– proiectul de decizie a Consiliului privind încheierea în numele Uniunii a acordului dintre Canada și Uniunea Europeană referitor la transferul și prelucrarea datelor din registrul cu numele pasagerilor (denumit în continuare „proiectul de decizie a Consiliului privind încheierea acordul preconizat”) și
– scrisoarea din 7 iulie 2014 prin care Consiliul a solicitat aprobarea de către Parlament a respectivului proiect de decizie.
II. Cadrul juridic
A. Convenția de la Chicago
3 Convenția privind aviația civilă internațională, semnată la Chicago la 7 decembrie 1944 (Recueil des traités des Nations unies, volumul 15, nr. 102, denumită în continuare „Convenția de la Chicago”), a fost ratificată de Canada, precum și de toate statele membre ale Uniunii Europene, fără ca aceasta din urmă să fie ea însăși parte la respectiva convenție.
4 Articolul 13 din această convenție prevede:
„Legile și regulamentele unui [s]tat contractant care reglementează pe teritoriul său intrarea sau ieșirea pasagerilor, echipajelor sau mărfurilor transportate de aeronave, cum sunt legile și regulamentele privind formalitățile de intrare, de ieșire, de imigrare, de pașaport, vamale și de carantină, trebuie respectate de pasageri și echipaje sau cu privire la mărfurile menționate mai sus, la intrare, la ieșire sau în limitele teritoriului acestui stat.”
5 Convenția de la Chicago a instituit Organizația Aviației Civile Internaționale (OACI), care, potrivit articolului 44 din aceeași convenție, are ca scop, printre altele, să dezvolte principiile și tehnica navigației aeriene internaționale.
B. Protocolul (nr. 21) privind poziția Regatului Unit și a Irlandei cu privire la spațiul de libertate, securitate și justiție
6 Articolul 1 din Protocolul (nr. 21) privind poziția Regatului Unit și a Irlandei cu privire la spațiul de libertate, securitate și justiție (JO 2010, C 83, p. 295, denumit în continuare „protocolul nr. 21”), prevede:
„Sub rezerva articolului 3, Regatul Unit și Irlanda nu participă la adoptarea de către Consiliu a măsurilor propuse care intră sub incidența părții a treia titlul V din Tratatul privind funcționarea Uniunii Europene. Pentru deciziile pe care Consiliul trebuie să le adopte în unanimitate este necesară unanimitatea membrilor Consiliului, cu excepția reprezentanților guvernelor Regatului Unit și Irlandei.
[…]”
7 Articolul 3 alineatul (1) din protocolul menționat are următorul cuprins:
„Regatul Unit sau Irlanda pot să notifice în scris președintelui Consiliului, în termen de trei luni de la prezentarea către Consiliu a unei propuneri sau a unei inițiative în temeiul părții a treia titlul V din Tratatul privind funcționarea Uniunii Europene, intenția sa de a participa la adoptarea și la aplicarea măsurii propuse, în urma căreia statul respectiv este îndreptățit la aceasta.”
C. Protocolul (nr. 22) privind poziția Danemarcei
8 Al treilea-al cincilea paragraf din preambulul Protocolului (nr. 22) privind poziția Danemarcei (JO 2010, C 83, p. 299, denumit în continuare „protocolul nr. 22”) prevăd că Înaltele Părți Contractante:
„[sunt conștiente] de faptul că menținerea în cadrul tratatelor a unui regim juridic datând de la decizia de la Edinburgh va restrânge în mod considerabil participarea Danemarcei în domenii de cooperare importante ale Uniunii și că ar fi în interesul Uniunii să se asigure integritatea acquis‑ului în domeniul libertății, securității și justiției,
[doresc], așadar, să instituie un cadru juridic care să ofere Danemarcei posibilitatea de a participa la adoptarea unor măsuri propuse în temeiul titlului V din partea a treia a Tratatului privind funcționarea Uniunii Europene și [salută] intenția Danemarcei de a se prevala de această posibilitate când acest lucru va fi posibil în conformitate cu cerințele sale constituționale,
[iau notă] de faptul că Danemarca nu se va opune ca celelalte state membre să continue dezvoltarea cooperării lor în ceea ce privește măsurile pe care aceasta nu este obligată să le respecte.”
9 Articolul 1 din acest protocol prevede:
„Danemarca nu participă la adoptarea de către Consiliu a măsurilor propuse care intră sub incidența părții a treia titlul V din Tratatul privind funcționarea Uniunii Europene. Pentru deciziile pe care Consiliul trebuie să le adopte în unanimitate este necesară unanimitatea membrilor Consiliului, cu excepția reprezentantului guvernului Danemarcei.
În înțelesul prezentului articol, majoritatea calificată se definește în conformitate cu articolul 238 alineatul (3) din Tratatul privind funcționarea Uniunii Europene.”
10 Articolul 2 din respectivul protocol are următorul cuprins:
„Niciuna dintre dispozițiile părții a treia titlul V din Tratatul privind funcționarea Uniunii Europene, nicio măsură adoptată în conformitate cu titlul menționat, nicio dispoziție a unui acord internațional încheiat de Uniune în conformitate cu titlul menționat și nicio decizie a Curții de Justiție a Uniunii Europene de interpretare a oricărei astfel de dispoziții sau măsuri sau a oricărei măsuri modificate sau modificabile în conformitate cu titlul menționat nu este obligatorie pentru Danemarca și nu se aplică în Danemarca. Respectivele dispoziții, măsuri sau decizii nu aduc în niciun fel atingere competențelor, drepturilor și obligațiilor Danemarcei. Respectivele dispoziții, măsuri sau decizii nu modifică în niciun fel acquis‑ul comunitar și nici pe cel al Uniunii și nu fac parte din dreptul Uniunii în forma în care se aplică Danemarcei. În mod deosebit, actele Uniunii în domeniul cooperării polițienești și al cooperării judiciare în materie penală, adoptate înainte de intrarea în vigoare a Tratatului de la Lisabona, care sunt modificate, continuă să fie obligatorii pentru Danemarca și să se aplice în Danemarca, nemodificate.”
11 Articolul 2a din același protocol prevede:
„Articolul 2 din prezentul protocol se aplică, de asemenea, în privința acelor norme stabilite în temeiul articolului 16 din Tratatul privind funcționarea Uniunii Europene referitor la prelucrarea datelor cu caracter personal de către statele membre în exercitarea activităților care intră sub incidența domeniului de aplicare al părții a treia titlul V capitolul 4 sau 5 din tratatul menționat.”
D. Directiva 95/46/CE
12 Articolul 25 din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10) are următorul cuprins:
„(1) Statele membre prevăd că transferul către o țară terță a datelor cu caracter personal care fac obiectul prelucrării sau sunt destinate prelucrării după transfer nu poate avea loc decât dacă, sub rezerva respectării dispozițiilor de drept intern adoptate în temeiul celorlalte dispoziții ale prezentei directive, țara terță în cauză asigură un nivel de protecție adecvat.
(2) Caracterul adecvat al nivelului de protecție oferit de o țară terță se evaluează având în vedere toate circumstanțele referitoare la un transfer sau la o categorie de transferuri de date; în special sunt luate în considerare natura datelor, scopul și durata prelucrării sau prelucrărilor propuse, țările de origine și țările de destinație, normele de drept atât generale, cât și sectoriale în vigoare în țara terță în cauză, precum și normele profesionale și măsurile de securitate respectate în țara respectivă.
[…]
(6) Comisia poate constata, în conformitate cu procedura prevăzută în articolul 31 alineatul (2), că o țară terță asigură un nivel de protecție adecvat în sensul alineatului (2) din prezentul articol, în temeiul legislației interne sau al angajamentelor sale internaționale, luate în special la încheierea negocierilor menționate la alineatul (5), în vederea protejării vieții private și a libertăților și drepturilor fundamentale ale persoanelor.
[…]”
E. Directiva 2004/82/CE
13 Articolul 3 alineatele (1) și (2) din Directiva 2004/82/CE a Consiliului din 29 aprilie 2004 privind obligația operatorilor de transport de a comunica datele privind pasagerii (JO 2004, L 261, p. 24, Ediție specială, 19/vol. 7, p. 40) prevede:
„(1) Statele membre iau toate măsurile necesare pentru a stabili obligația pentru operatorii de transport de a transmite, la cererea autorităților responsabile cu controlul persoanelor la frontierele externe, înainte de sfârșitul înregistrării (check‑in), informațiile privind pasagerii pe care îi vor transporta către un punct autorizat de trecere a frontierei prin care respectivele persoane vor intra pe teritoriul unui stat membru.
(2) Aceste informații includ următoarele:
– numărul și tipul documentului de călătorie utilizat;
– cetățenia;
– numele complet;
– data nașterii;
– punctul de trecere a frontierei utilizat pentru a intra pe teritoriul statelor membre;
– codul transportului;
– ora de plecare și ora de sosire a transportului;
– numărul total de persoane transportate;
– punctul inițial de îmbarcare.”
III. Istoricul acordului preconizat
14 La 18 iulie 2005, Consiliul a adoptat Decizia 2006/230/CE privind încheierea Acordului dintre Comunitatea Europeană și guvernul Canadei privind prelucrarea datelor IPP/DP (JO 2006, L 82, p. 14, Ediție specială, 07/vol. 15, p. 148), prin care a aprobat acordul respectiv (denumit în continuare „acordul din 2006”). Acest acord a fost încheiat, după cum rezultă din preambulul său, având în vedere „obligațiile impuse de guvernul Canadei transportatorilor aerieni care transportă pasageri spre Canada de a furniza autorităților canadiene competente date privind informațiile prealabile referitoare la pasageri și la dosarele pasagerilor (denumite în continuare „datele IPP/DP”), în măsura în care ele sunt colectate și stocate în sistemele lor de rezervare informatizată și în sistemele de control al plecărilor”.
15 Potrivit articolului 1 alineatul (1) din acordul din 2006, scopul acestuia era „acela de a asigura că datele IPP/DP ale persoanelor care efectuează călătorii eligibile sunt furnizate respectându‑se pe deplin drepturile și libertățile fundamentale, în special dreptul la respectarea vieții private”. În temeiul articolul 3 alineatul (1) din acest acord, „[p]ărțile [au convenit] că datele IPP/DP ale persoanelor care efectuează călătorii eligibile [sunt] prelucrate după cum se precizează în angajamentele asumate de autoritatea competentă care a obținut datele IPP/DP”. Autoritatea competentă pentru Canada era, în conformitate cu anexa I la acordul menționat, Agenția pentru Servicii Frontaliere a Canadei (ASFC).
16 Pe baza acestor angajamente, Comisia Comunităților Europene a adoptat, la 6 septembrie 2005, Decizia 2006/253/CE privind protecția adecvată a datelor cu caracter personal conținute în dosarele pasagerilor aerieni (DP) transferate Agenției de Servicii Frontaliere a Canadei (JO 2006, L 91, p. 49, Ediție specială, 07/vol. 15, p. 175). Articolul 1 din această decizie prevedea că, „[î]n înțelesul articolului 25 alineatul (2) din Directiva [95/46,] se consideră că [ASFC] asigură un nivel adecvat de protecție a datelor din DP transferate din Comunitate privind zborurile care au drept destinație Canada, în conformitate cu [angajamentele ASFC privind programul DP] din anex[a]” la decizia menționată. În temeiul articolului 7, aceeași decizie prevedea că „expiră după trei ani și șase luni de la data notificării sale, în afara cazului în care valabilitatea ei se prelungește în conformitate cu procedura prevăzută la articolul 31 alineatul (2) din Directiva [95/46]”. Nu a intervenit o astfel de prelungire.
17 Întrucât perioada de valabilitate a acordului din 2006 era legată, conform articolului 5 alineatele (1) și (2), de cea a Deciziei 2006/253, acest acord a expirat în luna septembrie 2009.
18 La 5 mai 2010, Parlamentul a adoptat o rezoluție referitoare la lansarea negocierilor pentru acordurile privind datele din registrul cu numele pasagerilor (PNR) cu Statele Unite, Australia și Canada (JO 2011, C 81 E, p. 70). La punctul 7 din această rezoluție, Parlamentul solicita „o abordare mai coerentă în ceea ce privește utilizarea datelor PNR în scopul aplicării legii și din motive de securitate, prin instituirea unui unic ansamblu de principii care să fie folosite ca bază pentru acordurile cu țările terțe” și invita „Comisia să prezinte […] o propunere privind un astfel de model unic și un proiect de mandat pentru negocierile cu țările terțe”, enunțând totodată, la punctul 9 din respectiva rezoluție, cerințele minime care trebuie să fie respectate în ceea ce privește utilizarea datelor pasagerilor aerieni în țările terțe.
19 La 2 decembrie 2010, Consiliul a adoptat o decizie, precum și directive de negociere prin care Comisia a fost autorizată să înceapă, în numele Uniunii, negocieri cu Canada în vederea unui acord referitor la transferul și la utilizarea de date din registrul cu numele pasagerilor (denumite în continuare „datele PNR”) în scopul prevenirii și al combaterii terorismului și a altor infracțiuni transnaționale grave.
20 Acordul preconizat, rezultat în urma negocierilor cu Canada, a fost parafat la 6 mai 2013. La 18 iulie 2013, Comisia a adoptat o propunere de decizie a Consiliului privind încheierea acordului dintre Canada și Uniunea Europeană referitor la transferul și prelucrarea datelor din registrul cu numele pasagerilor [COM(2013) 528 final, denumită în continuare „propunerea de decizie a Consiliului privind încheierea acordului preconizat”], precum și o propunere de decizie a Consiliului privind semnarea acordului dintre Canada și Uniunea Europeană privind transferul și prelucrarea datelor din registrul cu numele pasagerilor [COM(2013) 529 final].
21 Expunerea de motive a propunerii de decizie a Consiliului privind încheierea acordului preconizat cuprindea următoarele pasaje:
„Legislația canadiană împuternicește [ASFC] să solicite fiecărui transportator aerian care operează zboruri de pasageri către și din Canada să îi acorde acces electronic la datele din registrul cu numele pasagerilor [PNR] înainte ca aceștia să ajungă în Canada sau să părăsească teritoriul Canadei. Solicitările autorităților canadiene se bazează pe dispozițiile prevăzute de secțiunea 107 punctul 1 din Legea vămilor, de regulamentele (vamale) privind informațiile referitoare la pasageri, de punctul 148 subpunctul 1 litera (d) din Legea privind imigrația și protecția refugiaților, precum și de Regulamentul 269 privind imigrația și protecția refugiaților.
Scopul acestei legislații este de a obține pe cale electronică date PNR înainte de sosirea unui zbor și, prin urmare, de a consolida în mod semnificativ capacitatea [ASFC] de a efectua evaluări anticipate eficiente și eficace ale riscurilor pe care le prezintă pasagerii și de a facilita călătoriile bona fide, îmbunătățind astfel securitatea Canadei. Cooperând cu Canada în lupta împotriva terorismului și a altor infracțiuni transnaționale grave, Uniunea Europeană consideră transferul de date PNR către Canada ca fiind un mijloc de promovare a cooperării polițienești și judiciare internaționale. Acest obiectiv se va realiza prin schimbul de informații analitice care conțin date PNR obținute de Canada cu autoritățile polițienești și judiciare competente ale statelor membre, precum și cu Europol și Eurojust, în limitele mandatelor lor.
[…]
Transportatorii aerieni au obligația de a asigura accesul [ASFC] la anumite date PNR, în măsura în care acestea sunt colectate și se regăsesc în sistemele automate ale transportatorilor aerieni de rezervare și de control al plecărilor.
Legislația Uniunii Europene în materie de protecție a datelor nu permite transportatorilor europeni și altor transportatori care operează zboruri din [Uniune] să transmită date PNR ale pasagerilor lor către țări terțe care nu asigură un nivel adecvat de protecție a datelor cu caracter personal fără să prezinte garanții corespunzătoare. Este necesar să se găsească o soluție care să ofere temeiul juridic pentru transferul datelor PNR din Uniunea Europeană către Canada, ca o recunoaștere a necesității și a importanței utilizării datelor PNR în lupta împotriva terorismului și a altor infracțiuni transnaționale grave, oferind totodată securitate juridică transportatorilor aerieni. În plus, această soluție ar trebui aplicată în mod omogen în întreaga Uniune Europeană pentru a asigura securitatea juridică pentru transportatorii aerieni și respectarea dreptului persoanelor la protecția datelor cu caracter personal, precum și a securității fizice a acestora.
[…]”
22 La 30 septembrie 2013, Autoritatea Europeană pentru Protecția Datelor (AEPD) a emis un aviz cu privire la aceste propuneri de decizii. Textul integral al acestui aviz, care este publicat în rezumat în Jurnalul Oficial al Uniunii Europene (JO 2014, C 51, p. 12), est disponibil pe site‑ul internet al AEPD.
23 La 5 decembrie 2013, Consiliul a adoptat decizia referitoare la semnarea acordului dintre Canada și Uniunea Europeană privind transferul și prelucrarea datelor din registrul cu numele pasagerilor. În aceeași zi, această instituție a decis să solicite aprobarea Parlamentului cu privire la proiectul său de decizie privind încheierea acordului preconizat.
24 Acordul preconizat a fost semnat la 25 iunie 2014.
25 Prin scrisoarea din 7 iulie 2014, Consiliul a solicitat Parlamentului să aprobe proiectul de decizie a Consiliului referitoare la încheierea acordului preconizat.
26 La 25 noiembrie 2014, Parlamentul adoptat rezoluția referitoare la decizia de a solicita avizul Curții de Justiție cu privire la compatibilitatea cu tratatele a Acordului dintre Canada și Uniunea Europeană referitor la transferul și prelucrarea datelor din registrul cu numele pasagerilor (JO 2016, C 289, p. 2).
IV. Propunerea de decizie a Consiliului privind încheierea acordului preconizat
27 Propunerea de decizie a Consiliului privind încheierea acordului preconizat indică articolul 82 alineatul (1) al doilea paragraf litera (d) și articolul 87 alineatul (2) litera (a) coroborate cu articolul 218 alineatul (6) litera (a) TFUE ca fiind temeiurile juridice ale acestei decizii.
28 Considerentele (5) și (6) ale acestui proiect de decizie sunt redactate după cum urmează:
„(5) În conformitate cu articolul 3 din Protocolul [(nr. 21)], [Regatul Unit și Irlanda] și‑au notificat dorința de a participa la adoptarea și la aplicarea prezentei decizii.
(6) În conformitate cu articolele 1 și 2 din Protocolul [(nr. 22)], Danemarca nu participă la adoptarea prezentei decizii, nu are obligații în temeiul acesteia și nu face obiectul aplicării sale.”
29 Articolul 1 din proiectul de decizie menționat prevede:
„Se aprobă, în numele Uniunii Europene, Acordul dintre Canada și Uniunea Europeană privind transferul și prelucrarea datelor din registrul cu numele pasagerilor.
Textul acordului este atașat la prezenta decizie.”
V. Acordul preconizat
30 Acordul preconizat are următorul cuprins:
„Canada
și
Uniunea Europeană,
denumite în continuare «părțile»
Dorind să prevină, să combată, să reprime și să elimine terorismul și infracțiunile care au legătură cu terorismul, precum și alte infracțiuni transnaționale grave, ca mijloc de protejare a societăților lor democratice și a valorilor lor comune de promovare a securității și a statului de drept;
Recunoscând importanța prevenirii, combaterii, reprimării și eliminării terorismului și a infracțiunilor care au legătură cu terorismul, precum și a altor infracțiuni transnaționale grave, protejând, în același timp, drepturile și libertățile fundamentale, în special dreptul la viață privată și la protecția datelor;
Dorind să consolideze și să încurajeze cooperarea dintre părți în spiritul parteneriatului dintre Canada și Uniunea Europeană;
Recunoscând faptul că schimbul de informații este o componentă esențială a luptei împotriva terorismului și a infracțiunilor conexe, precum și a altor infracțiuni transnaționale grave și că, în acest context, utilizarea datelor din registrul cu numele pasagerilor (PNR) constituie un instrument extrem de important pentru realizarea acestor obiective;
Recunoscând faptul că, pentru a garanta siguranța publică și în scopul aplicării legii, ar trebui stabilite norme care să reglementeze transferul de date PNR efectuat de transportatorii aerieni către Canada;
Recunoscând faptul că părțile împărtășesc valori comune în ceea ce privește protecția datelor și a vieții private, care se reflectă în legislația acestora;
Ținând seama de angajamentele asumate de Uniunea Europeană în temeiul articolului 6 din Tratatul privind Uniunea Europeană referitor la respectarea drepturilor fundamentale, la dreptul la viața privată în contextul prelucrării datelor cu caracter personal, astfel cum se prevede la articolul 16 din Tratatul privind funcționarea Uniunii Europene, la principiile proporționalității și necesității în ceea ce privește dreptul la viața privată și de familie, respectarea vieții private și protecția datelor cu caracter personal în temeiul articolelor 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene, al articolului 8 din Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, al Convenției nr. 108 a Consiliului Europei pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal [semnată la Strasbourg la 28 ianuarie 1981] și al Protocolului adițional 181 la aceasta [semnat la Strasbourg la 8 noiembrie 2001];
Având în vedere dispozițiile relevante prevăzute de Carta canadiană a drepturilor și a libertăților și de legislația canadiană privind protecția vieții private;
Luând notă de angajamentul Uniunii Europene de a asigura faptul că transportatorii aerieni nu sunt în afara legislației canadiene privind transferul de date PNR provenind din Uniunea Europeană către Canada, în temeiul prezentului acord;
Recunoscând faptul că acordul privind transferul de date PNR încheiat între părți în 2006 a fost examinat în comun cu succes în 2008;
Recunoscând faptul că prezentul acord nu se va aplica informațiilor prealabile referitoare la pasageri care sunt colectate de transportatorii aerieni și transmise de aceștia Canadei în scopul efectuării controlului la frontieră;
Recunoscând, de asemenea, faptul că prezentul acord nu împiedică prelucrarea în continuare de către Canada a informațiilor furnizate de transportatorii aerieni în circumstanțe excepționale, atunci când aceasta este necesară pentru a combate orice amenințare gravă și imediată la adresa securității transportului aerian sau a securității naționale, cu respectarea limitărilor stricte prevăzute de legislația canadiană și, în orice caz, fără a depăși limitările prevăzute de prezentul acord;
Luând notă de interesul părților, precum și de interesul statelor membre ale Uniunii Europene de a face schimb de informații cu privire la metoda de transmitere a datelor PNR, precum și la divulgarea de date PNR în afara Canadei, astfel cum se prevede la articolele relevante din prezentul acord, și luând notă, de asemenea, de interesul Uniunii Europene ca acest aspect să fie abordat în contextul mecanismului de consultare și de examinare prevăzut de prezentul acord;
Luând notă de faptul că părțile pot examina necesitatea și fezabilitatea încheierii unui acord similar privind prelucrarea de date PNR în cazul transportului maritim;
Luând notă de angajamentul Canadei conform căruia autoritatea canadiană competentă prelucrează date PNR în scopul prevenirii, al detectării, al cercetării și al urmăririi penale a infracțiunilor de terorism și a infracțiunilor transnaționale grave, cu respectarea strictă a garanțiilor privind viața privată și protecția datelor cu caracter personal, astfel cum se prevede în prezentul acord;
Subliniind importanța schimbului de date PNR și de informații analitice relevante și pertinente care conțin date PNR, obținute de Canada în temeiul prezentului acord, cu autoritățile polițienești și judiciare competente ale statelor membre ale Uniunii Europene, precum și cu Europol și Eurojust, ca mijloc de promovare a cooperării polițienești și judiciare internaționale;
Afirmând că prezentul acord nu constituie un precedent pentru niciun acord viitor între Canada și Uniunea Europeană sau între oricare dintre părți și o terță parte în ceea ce privește prelucrarea și transferul de date PNR sau în ceea ce privește protecția datelor;
Având în vedere angajamentul reciproc al părților de a aplica și de a dezvolta în continuare standardele internaționale privind prelucrarea de date PNR,
Convin cu privire la următoarele dispoziții:
Dispoziții generale
Articolul 1
Scopul acordului
În prezentul acord, părțile stabilesc condițiile care reglementează transferul și utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru a asigura securitatea și siguranța populației și stabilesc mijloacele prin care datele respective sunt protejate.
Articolul 2
Definiții
În sensul prezentului acord:
(a) «transportator aerian» înseamnă o societate comercială de transport care utilizează aeronave ca mijloc de transport pentru pasagerii care călătoresc între Canada și Uniunea Europeană;
(b) «[date PNR]» înseamnă informațiile introduse în registrele ținute de un transportator aerian pentru fiecare călătorie rezervată de către orice pasager sau în numele acestuia, necesare pentru prelucrarea și controlul rezervărilor. În mod specific, astfel cum sunt utilizate în prezentul acord, datele PNR constau în elementele prevăzute în anexa la prezentul acord;
(c) «prelucrare» înseamnă orice operațiune sau set de operațiuni care se efectuează asupra datelor PNR, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau alterarea, recuperarea, extragerea, consultarea, utilizarea, transferul, diseminarea, divulgarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, blocarea, mascarea, ștergerea sau distrugerea;
(d) «autoritate canadiană competentă» înseamnă autoritatea canadiană responsabilă cu primirea și prelucrarea de date PNR în temeiul prezentului acord;
(e) «date sensibile» înseamnă orice informație care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală sau informațiile cu privire la starea de sănătate a unei persoane sau la viața sexuală a acesteia.
Articolul 3
Utilizarea datelor PNR
(1) Canada asigură faptul că autoritatea canadiană competentă prelucrează datele PNR primite în temeiul prezentului acord exclusiv în scopul prevenirii, al detectării, al cercetării sau al urmăririi penale a infracțiunilor de terorism sau a infracțiunilor transnaționale grave.
(2) În sensul prezentului acord, noțiunea «infracțiuni de terorism» include:
(a) un act comis sau o omisiune comisă într‑un scop, cu un obiectiv sau pentru o cauză de natură politică, religioasă sau ideologică, cu intenția de a intimida populația în privința securității sale, inclusiv a securității sale economice, sau cu intenția de a obliga o persoană, un guvern sau o organizație națională sau internațională să facă ceva sau să se abțină de la a face ceva și care în mod intenționat
(i) provoacă decesul sau vătămarea corporală gravă;
(ii) pune în pericol viața unei persoane;
(iii) provoacă un risc grav pentru sănătatea sau siguranța populației;
(iv) provoacă daune materiale substanțiale care ar putea să cauzeze prejudiciile menționate la punctele (i)-(iii) sau
(v) cauzează o avarie gravă sau provoacă o perturbare gravă funcționării unui serviciu esențial, a unei instalații esențiale sau a unui sistem esențial, care nu rezultă ca urmare a unei acțiuni legale sau ilegale de sprijin, de protest, de exprimare a dezacordului sau de încetare a activității, ca de exemplu o grevă, care nu este menită să cauzeze prejudiciile menționate la punctele (i)-(iii) sau
(b) activitățile care constituie o infracțiune în sensul și conform definițiilor prevăzute de convențiile și protocoalele internaționale aplicabile în materie de terorism sau
(c) participarea sau contribuirea cu bună știință la desfășurarea oricărei activități în scopul consolidării capacității unei entități teroriste de a facilita sau de a comite un act descris sau o omisiune descrisă la litera (a) sau (b) sau instruirea cu intenție a unei persoane, a unui grup sau a unei organizații în acest scop sau
(d) comiterea unei infracțiuni grave în cazul în care actul sau omisiunea care constituie infracțiunea este comis(ă) în beneficiul unei entități teroriste, sub conducerea unei entități teroriste sau în asociere cu o entitate teroristă sau
(e) colectarea de bunuri sau invitarea unei persoane, a unui grup sau a unei organizații să furnizeze sau să pună la dispoziție bunuri sau servicii financiare sau alte servicii conexe în scopul comiterii unui act descris sau a unei omisiuni descrise la litera (a) sau (b) sau utilizarea sau deținerea de bunuri în scopul comiterii unui act descris sau a unei omisiuni descrise la litera (a) sau (b) sau
(f) tentativa sau amenințarea de a comite un act descris sau o omisiune descrisă la litera (a) sau (b), conspirarea, facilitarea, instruirea sau consilierea în legătură cu un act descris sau o omisiune descrisă la litera (a) sau (b) sau complicitatea a posteriori sau găzduirea sau ascunderea în scopul de a permite unei entități teroriste să faciliteze sau să efectueze un act descris sau o omisiune descrisă la litera (a) sau (b);
(g) în sensul prezentului articol, «entitate teroristă» înseamnă:
(i) o persoană, un grup sau o organizație printre ale cărei scopuri sau activități se numără facilitarea sau comiterea unui act descris sau a unei omisiuni descrise la litera (a) sau (b) sau
(ii) o persoană, un grup sau o organizație care acționează cu bună știință în numele sau sub conducerea unei persoane, a unui grup sau a unei organizații menționate la punctul (i) sau în asociere cu o astfel de persoană, un astfel de grup sau o astfel de organizație.
(3) «Infracțiune transnațională gravă» înseamnă orice infracțiune care în Canada se sancționează cu o pedeapsă cu închisoarea de cel puțin patru ani sau cu o pedeapsă mai severă, astfel cum este definită de legislația canadiană, în cazul în care infracțiunea are un caracter transnațional.
În sensul prezentului acord, se consideră că o infracțiune are un caracter transnațional în cazul în care este comisă:
(a) în mai multe țări;
(b) într‑o singură țară, dar pregătirea, planificarea, conducerea sau controlul acesteia are loc, în mare parte, în altă țară;
(c) într‑o singură țară, dar implică un grup infracțional organizat care desfășoară activități infracționale în mai multe țări;
(d) într‑o singură țară, dar are efecte semnificative în altă țară sau
(e) într‑o singură țară și infractorul se află sau intenționează să călătorească în altă țară.
(4) În cazuri excepționale, autoritatea canadiană competentă poate prelucra date PNR atunci când acest lucru este necesar pentru a proteja interesele vitale ale oricărei persoane, cum ar fi:
(a) riscul de deces sau de rănire gravă sau
(b) un risc important la adresa sănătății publice, în special conform cerințelor standardelor recunoscute la nivel internațional.
(5) Canada poate, de asemenea, să prelucreze date PNR de la caz la caz pentru:
(a) a asigura supravegherea sau tragerea la răspundere a administrației publice sau
(b) a se conforma dispozițiilor unei citații sau ale unui mandat sau ale unui ordin emis de o instanță.
Articolul 4
Asigurarea furnizării datelor PNR
(1) Uniunea Europeană asigură faptul că transportatorii aerieni nu sunt împiedicați să transfere date PNR autorității canadiene competente în temeiul prezentului acord.
(2) Canada nu solicită unui transportator aerian să furnizeze elemente ale datelor PNR care nu sunt deja colectate sau deținute de transportatorul aerian în scopul rezervării.
(3) Canada șterge în momentul primirii orice date care îi sunt transferate de un transportator aerian, în temeiul prezentului acord, în cazul în care elementele datelor nu sunt prevăzute în anexă.
(4) Părțile asigură faptul că transportatorii aerieni pot transfera date PNR autorității canadiene competente prin intermediul agenților autorizați, care acționează în numele și sub responsabilitatea transportatorului aerian, în scopul și în condițiile prevăzute de prezentul acord.
Articolul 5
Adecvare
Sub rezerva conformității cu prezentul acord, autoritatea canadiană competentă se consideră că asigură un nivel adecvat de protecție, în sensul legislației relevante a Uniunii Europene în domeniul protecției datelor, în ceea ce privește prelucrarea și utilizarea datelor PNR. Se consideră că un transportator aerian care furnizează date PNR Canadei în temeiul prezentului acord respectă cerințele legale ale Uniunii Europene privind transferul de date din Uniunea Europeană către Canada.
Articolul 6
Cooperarea polițienească și judiciară
(1) De îndată ce este posibil, Canada face schimb de informații analitice relevante și pertinente care conțin date PNR obținute în temeiul prezentului acord cu Europol, cu Eurojust, în limitele domeniului de competență al acestora, sau cu autoritatea polițienească sau judiciară a unui stat membru al Uniunii Europene. Canada asigură faptul că acest schimb de informații este efectuat în conformitate cu acordurile și cu dispozițiile privind aplicarea legii sau schimbul de informații dintre Canada și Europol, Eurojust sau statul membru respectiv.
(2) La cererea Europol, la cererea Eurojust, în limitele domeniului de competență al acestora, sau la cererea autorității polițienești sau judiciare a unui stat membru al Uniunii Europene, Canada face schimb de date PNR sau de informații analitice care conțin date PNR obținute în temeiul prezentului acord în cazuri specifice pentru a preveni, a detecta, a cerceta sau a urmări penal în Uniune o infracțiune de terorism sau o infracțiune transnațională gravă. Canada pune la dispoziție aceste informații în conformitate cu acordurile și cu dispozițiile privind aplicarea legii, cooperarea judiciară sau schimbul de informații dintre Canada și Europol, Eurojust sau statul membru respectiv.
Garanții aplicabile prelucrării datelor PNR
Articolul 7
Nediscriminare
Canada asigură faptul că garanțiile aferente prelucrării datelor PNR se aplică tuturor pasagerilor în mod egal, fără discriminare ilegală.
Articolul 8
Utilizarea datelor sensibile
(1) În cazul în care printre datele PNR colectate cu privire la un pasager se numără și date sensibile, Canada asigură faptul că autoritatea canadiană competentă maschează datele sensibile utilizând sisteme automate. Canada asigură faptul că autoritatea canadiană competentă nu prelucrează în continuare datele respective, exceptându‑se prelucrarea în continuare a acestor date conform alineatelor (3), (4) și (5).
(2) Canada furnizează Comisiei Europene o listă de coduri și de termeni de identificare a datelor sensibile pe care Canada are obligația să le mascheze. Canada furnizează această listă în termen de 90 de zile de la intrarea în vigoare a prezentului acord.
(3) Canada poate prelucra de la caz la caz date sensibile, în situații excepționale în care o astfel de prelucrare este indispensabilă deoarece este în pericol viața unei persoane sau există riscul unei răniri grave.
(4) Canada asigură faptul că datele sensibile sunt prelucrate în conformitate cu alineatul (3) numai în temeiul unor măsuri procedurale stricte, printre care se numără și următoarele:
(a) prelucrarea datelor sensibile este aprobată de persoana aflată la conducerea autorității canadiene competente;
(b) datele sensibile sunt prelucrate doar de un funcționar autorizat în mod specific și individual și
(c) după ce au fost demascate, datele sensibile nu sunt prelucrate utilizându‑se sisteme automate.
(5) Canada șterge datele sensibile cel târziu în termen de 15 zile de la data la care le primește, cu excepția cazului în care le păstrează în conformitate cu articolul 16 alineatul (5).
(6) În cazul în care, în conformitate cu alineatele (3), (4) și (5), autoritatea canadiană competentă prelucrează date sensibile referitoare la o persoană care este cetățean al unui stat membru al Uniunii Europene, Canada asigură faptul că în cel mai scurt timp posibil autoritatea canadiană competentă notifică autoritățile statului membru respectiv cu privire la prelucrare. Canada efectuează respectiva notificare în conformitate cu acordurile și cu dispozițiile privind aplicarea legii sau schimbul de informații dintre Canada și statul membru respectiv.
Articolul 9
Securitatea și integritatea datelor
(1) Canada pune în aplicare măsuri de reglementare, procedurale sau tehnice pentru a proteja datele PNR împotriva accesării, a prelucrării sau a pierderii accidentale, ilegale sau neautorizate a acestora.
(2) Canada asigură verificarea conformității și protecția, securitatea, confidențialitatea și integritatea datelor. Canada:
(a) aplică proceduri de criptare, de autorizare și de documentare pentru datele PNR;
(b) limitează accesul la datele PNR, care este permis doar funcționarilor autorizați;
(c) păstrează datele PNR într‑un mediu fizic sigur care este protejat prin controale de acces și
(d) instituie un mecanism care asigură faptul că accesarea datelor PNR are loc în conformitate cu articolul 3.
(3) În cazul în care datele PNR ale unei persoane sunt accesate sau divulgate fără autorizare, Canada ia măsuri pentru a notifica persoana în cauză, pentru a atenua riscul de prejudiciere a acesteia și pentru a întreprinde acțiuni corective.
(4) Canada asigură faptul că autoritatea canadiană competentă informează cu promptitudine Comisia Europeană cu privire la orice incidente semnificative de accesare, de prelucrare sau de pierdere accidentală, ilegală sau neautorizată a datelor PNR.
(5) Canada garantează faptul că orice încălcare a securității datelor, în special încălcarea care duce la distrugerea accidentală sau ilegală sau la pierderea accidentală, alterarea, divulgarea neautorizată sau accesul neautorizat, sau orice altă formă ilegală de prelucrare va face obiectul unor măsuri corective eficace și disuasive, printre care se pot număra și sancțiuni.
Articolul 10
Supravegherea
(1) Garanțiile în materie de protecție a datelor în ceea ce privește prelucrarea datelor PNR în temeiul prezentului acord vor face obiectul supravegherii de către o autoritate publică independentă sau de către o autoritate creată prin mijloace administrative care își exercită funcțiile în mod imparțial și care și‑a demonstrat autonomia (denumită în continuare «autoritate de supraveghere»). Canada garantează că autoritatea de supraveghere are competențe efective de a investiga respectarea normelor privind colectarea, utilizarea, divulgarea, păstrarea sau eliminarea datelor PNR. Autoritatea de supraveghere poate să efectueze analize privind conformitatea și investigații, să prezinte rapoarte privind constatările și să facă recomandări autorității canadiene competente. Canada garantează că autoritatea de supraveghere are competența de a dispune urmărirea penală sau sancționarea disciplinară, după caz, a încălcărilor legii care au legătură cu prezentul acord.
(2) Canada garantează că autoritatea de supraveghere asigură faptul că plângerile privind încălcarea prezentului acord sunt primite, fac obiectul unei investigații, primesc răspuns și sunt soluționate în mod corespunzător.
Articolul 11
Transparență
(1) Canada asigură faptul că autoritatea canadiană competentă publică pe site‑ul său internet următoarele:
(a) o listă a actelor legislative care autorizează colectarea datelor PNR;
(b) motivul pentru care se colectează datele PNR;
(c) modalitatea de asigurare a protecției datelor PNR;
(d) modalitatea și măsura în care datele PNR pot fi divulgate;
(e) informații privind accesul, corectarea, atașarea unei note și căile de atac și
(f) datele de contact la care se pot solicita informații.
(2) Părțile conlucrează cu părțile interesate, cum ar fi sectorul transportului aerian, pentru a promova transparența, de preferință în momentul efectuării rezervării, furnizând următoarele informații călătorilor:
(a) motivele pentru colectarea datelor PNR;
(b) utilizarea datelor PNR;
(c) procedura pentru solicitarea accesului la datele PNR și
(d) procedura pentru solicitarea corectării datelor PNR.
Articolul 12
Accesul persoanelor fizice
(1) Canada asigură accesul oricărei persoane fizice la propriile sale date PNR.
(2) Canada asigură faptul că autoritatea canadiană competentă, într‑un termen rezonabil:
(a) furnizează persoanei care înaintează o cerere scrisă de acces la datele sale PNR o copie a acestora;
(b) răspunde în scris oricărei cereri;
(c) permite accesul persoanei fizice interesate la informațiile înregistrate care confirmă că datele sale PNR au fost divulgate, în cazul în care solicită o astfel de confirmare;
(d) stabilește motivele de drept sau de fapt ale oricărui refuz al accesului la datele PNR ale unei persoane;
(e) informează persoana fizică interesată în cazul în care datele PNR nu există;
(f) informează persoana fizică interesată cu privire la dreptul său de a depune o plângere și cu privire la procedura aferentă.
(3) Canada poate divulga orice informație care face obiectul unor cerințe și restricții legale rezonabile, inclusiv al oricăror restricții necesare pentru prevenirea, detectarea, cercetarea sau urmărirea penală a infracțiunilor sau pentru asigurarea protecției siguranței publice sau a securității naționale, acordând atenția cuvenită interesului legitim al persoanei în cauză.
Articolul 13
Corectarea sau atașarea unei note în cazul persoanelor fizice
(1) Canada asigură faptul că orice persoană fizică poate solicita corectarea datelor sale PNR.
(2) Canada asigură faptul că autoritatea canadiană competentă analizează toate cererile scrise de corectare și, într‑un termen rezonabil:
(a) corectează datele PNR și notifică persoanei interesate efectuarea corecției sau
(b) refuză întreaga corecție sau o parte a corecției și:
(i) atașează la datele PNR o notă care reflectă orice corecție solicitată care a fost refuzată;
(ii) notifică persoanei interesate:
i. refuzul cererii de corectare și precizează motivele de drept sau de fapt ale refuzului;
ii. faptul că nota prevăzută la punctul (i) este atașată la datele PNR și
(c) informează persoana fizică interesată cu privire la dreptul său de a depune o plângere și cu privire la procedura aferentă.
Articolul 14
Căi de atac administrative și judiciare
(1) Canada asigură faptul că o autoritate publică independentă sau o autoritate creată prin mijloace administrative care își exercită funcțiile în mod imparțial și care și‑a demonstrat autonomia va primi, va investiga și va răspunde la plângerile înaintate de orice persoană cu privire la cererea sa de acordare a accesului la datele sale PNR, de corectare a acestora sau de atașare a unei note la acestea. Canada asigură faptul că autoritatea competentă va notifica reclamantului mijloacele de exercitare a căilor de atac judiciare prevăzute la alineatul (2).
(2) Canada asigură faptul că orice persoană care consideră că i‑au fost încălcate drepturile printr‑o decizie sau acțiune în legătură cu datele sale PNR poate exercita căi de atac judiciare eficace în conformitate cu legislația canadiană, prin control jurisdicțional sau orice altă măsură reparatorie, care poate să includă acordarea unei compensații.
Articolul 15
Decizii bazate pe prelucrarea automată
Canada nu adoptă decizii care au urmări negative semnificative asupra unui pasager exclusiv pe baza prelucrării automate a datelor PNR.
Articolul 16
Păstrarea datelor PNR
(1) Canada păstrează datele PNR pentru o perioadă maximă de cinci ani de la data la care le primește.
(2) Canada restricționează accesul la un număr limitat de funcționari pe care îi autorizează în acest sens.
(3) Canada depersonalizează prin mascare numele tuturor pasagerilor la 30 de zile după ce a primit datele PNR.
Timp de doi ani după primirea datelor PNR, Canada depersonalizează în continuare prin mascare următoarele:
(a) alte nume din PNR, inclusiv numărul călătorilor din PNR;
(b) toate informațiile disponibile privind datele de contact (inclusiv cele referitoare la sursa informației);
(c) observații generale, inclusiv alte informații suplimentare (OSI), informații privind serviciile speciale (SSI) și informații privind cereri ale serviciilor speciale (SSR), în măsura în care acestea conțin orice informații care permit identificarea unei persoane și
(d) orice date privind informațiile prealabile referitoare la pasageri (API) colectate în scopul rezervării, în măsura în care acestea conțin orice informații care permit identificarea unei persoane.
(4) Canada poate să dezvăluie prin demascare datele PNR numai în cazul în care, pe baza informațiilor disponibile, este necesar să se efectueze investigații care se încadrează în domeniul de aplicare al articolul 3, după cum urmează:
(a) într‑o perioadă cuprinsă între 30 de zile și doi ani după data primirii inițiale, numai de către un număr limitat de funcționari autorizați în mod specific și
(b) într‑o perioadă cuprinsă între doi ani și cinci ani după data primirii inițiale, numai cu autorizația prealabilă a persoanei aflate la conducerea autorității canadiene competente sau a unui înalt funcționar mandatat în mod specific de către această persoană.
(5) Fără a aduce atingere alineatului (1):
(a) Canada poate păstra datele PNR necesare pentru orice acțiune, analiză, cercetare, măsură de punere în aplicare, procedură judiciară, urmărire penală sau aplicare de sancțiuni specifică până la încheierea acesteia;
(b) Canada păstrează datele PNR menționate la litera (a) pentru o perioadă suplimentară de doi ani, numai pentru a asigura tragerea la răspundere sau supravegherea administrației publice, astfel încât datele respective să poată fi divulgate pasagerului, în cazul în care solicită acest lucru.
(6) Canada distruge datele PNR la sfârșitul perioadei de păstrare a acestora.
Articolul 17
Înregistrarea și documentarea prelucrării datelor PNR
Canada păstrează în registre sau în documente toate operațiunile de prelucrare a datelor PNR. Canada utilizează un registru sau un document numai pentru:
(a) a automonitoriza și a verifica legalitatea prelucrării datelor;
(b) a asigura integritatea corespunzătoare a datelor;
(c) a asigura securitatea prelucrării datelor și
(d) a asigura supravegherea și tragerea la răspundere a administrației publice.
Articolul 18
Divulgarea în Canada
(1) Canada garantează că autoritatea canadiană competentă divulgă date PNR altor autorități guvernamentale din Canada numai în cazul în care sunt îndeplinite următoarele condiții:
(a) datele PNR sunt divulgate autorităților guvernamentale ale căror funcții au o legătură directă cu domeniul de aplicare al articolului 3;
(b) datele PNR sunt divulgate doar de la caz la caz;
(c) în anumite circumstanțe, divulgarea este necesară în scopurile menționate la articolul 3;
(d) se divulgă doar volumul minim necesar de date PNR;
(e) autoritatea guvernamentală care primește datele asigură o protecție echivalentă cu garanțiile prevăzute în prezentul acord și
(f) autoritatea guvernamentală care primește datele nu divulgă datele PNR unei alte entități, cu excepția cazului în care divulgarea este autorizată de autoritatea canadiană competentă, cu respectarea condițiilor prevăzute la prezentul alineat.
(2) Atunci când se transferă informații analitice care conțin date PNR obținute în temeiul prezentului acord, se respectă garanțiile aplicabile datelor PNR conform prevederilor prezentului articol.
Articolul 19
Divulgarea în afara Canadei
(1) Canada asigură faptul că autoritatea canadiană competentă poate să divulge date PNR autorităților guvernamentale din alte țări decât statele membre ale Uniunii Europene numai în cazul în care sunt îndeplinite următoarele condiții:
(a) datele PNR sunt divulgate autorităților guvernamentale ale căror funcții au o legătură directă cu domeniul de aplicare al articolului 3;
(b) datele PNR sunt divulgate doar de la caz la caz;
(c) datele PNR sunt divulgate doar dacă acest lucru este necesar în scopurile menționate la articolul 3;
(d) se divulgă doar volumul minim necesar de date PNR;
(e) autoritatea canadiană competentă se asigură că:
(i) autoritatea străină care primește datele PNR aplică în ceea ce privește protecția datelor PNR standarde care sunt echivalente celor prevăzute în prezentul acord, în conformitate cu acordurile și cu dispozițiile care conțin standardele respective, sau
(ii) autoritatea străină aplică în ceea ce privește protecția datelor PNR standarde pe care le‑a convenit cu Uniunea Europeană.
(2) În cazul în care, în conformitate cu alineatul (1), autoritatea canadiană competentă divulgă datele PNR ale unei persoane care este cetățean al unui stat membru al Uniunii Europene, Canada asigură faptul că în cel mai scurt timp posibil autoritatea canadiană competentă notifică autoritățile statului membru respectiv cu privire la divulgare. Canada efectuează această notificare în conformitate cu acordurile și cu dispozițiile privind aplicarea legii sau schimbul de informații dintre Canada și statul membru respectiv.
(3) Atunci când se transferă informații analitice care conțin date PNR obținute în temeiul prezentului acord, se respectă garanțiile aplicabile datelor PNR conform prevederilor prezentului articol.
Articolul 20
Metoda de transfer
Părțile asigură faptul că transportatorii aerieni transferă date PNR către autoritatea canadiană competentă exclusiv pe baza metodei «push» și în conformitate cu următoarele proceduri care trebuie respectate de transportatorii aerieni:
(a) transferă date PNR prin mijloace electronice, în conformitate cu cerințele tehnice ale autorității canadiene competente, sau, în caz de defecțiune tehnică a acestora, prin orice alte mijloace adecvate care să asigure un nivel corespunzător de securitate a datelor;
(b) transferă date PNR utilizând un format de mesaj reciproc acceptat;
(c) transferă date PNR în mod securizat, utilizând protocoalele comune solicitate de autoritatea canadiană competentă.
Articolul 21
Frecvența transferurilor
(1) Canada asigură faptul că autoritatea canadiană competentă solicită unui transportator aerian să transfere date PNR:
(a) pe baza unei programări, cel mai devreme cu până la 72 de ore înainte de plecarea prevăzută, și
(b) de maximum cinci ori, pentru un anumit zbor.
(2) Canada asigură faptul că autoritatea canadiană competentă informează transportatorii aerieni cu privire la momentele stabilite pentru efectuarea transferurilor.
(3) În cazurile specifice în care există indicii că este necesar un acces suplimentar pentru a răspunde unor amenințări specifice legate de domeniul de aplicare prevăzut la articolul 3, autoritatea canadiană competentă poate solicita unui transportator aerian să furnizeze date PNR înainte de, între sau după transferurile programate. În exercitarea acestei competențe discreționare, Canada acționează în mod judicios și proporțional și utilizează metoda de transfer descrisă la articolul 20.
Dispoziții de punere în aplicare și dispoziții finale
Articolul 22
Datele PNR primite înainte de intrarea în vigoare a prezentului acord
Canada aplică dispozițiile prezentului acord în cazul tuturor datelor PNR pe care le deține la data intrării în vigoare a acestuia.
Articolul 23
Reciprocitate
(1) În cazul în care Uniunea Europeană adoptă un regim propriu de prelucrare a datelor PNR, părțile se consultă pentru a stabili dacă prezentul acord ar trebui să fie modificat în vederea asigurării unei reciprocități depline.
(2) Autoritățile canadiene și autoritățile din Uniunea Europeană cooperează pentru a asigura coerența regimurilor lor de prelucrare a datelor PNR, astfel încât să consolideze în continuare securitatea cetățenilor Canadei, ai Uniunii Europene și ai altor țări.
Articolul 24
Nederogare
Prezentul acord nu se interpretează ca fiind o derogare de la nicio obligație existentă între Canada și statele membre ale Uniunii Europene sau țări terțe de a înainta sau de a răspunde la o cerere de asistență în temeiul unui instrument de asistență reciprocă.
[…]
Articolul 26
Consultare, reevaluare și modificare
[…]
(2) Părțile reevaluează în comun punerea în aplicare a prezentului acord la un an după intrarea sa în vigoare și apoi periodic; reevaluarea se poate efectua și suplimentar, în cazul în care acest lucru este solicitat de către oricare dintre părți și se decide de comun acord.
[…]
Articolul 28
Durată
(1) Sub rezerva alineatului (2), prezentul acord rămâne în vigoare pentru o perioadă de șapte ani de la data intrării în vigoare.
(2) La sfârșitul fiecărei perioade de șapte ani, prezentul acord se reînnoiește automat pentru încă șapte ani, cu excepția cazului în care o parte informează cealaltă parte cu privire la faptul că nu are intenția de a reînnoi acordul. Partea în cauză trebuie să notifice în scris cealaltă parte, pe cale diplomatică, cu cel puțin șase luni înainte de expirarea perioadei de șapte ani.
(3) Canada continuă să aplice dispozițiile prezentului acord în cazul tuturor datelor PNR obținute înainte de încetarea acestuia.
[…]
Anexă
Elemente ale datelor [PNR] menționate la articolul 2 litera (b)
1. codul de localizare PNR;
2. data rezervării/emiterii biletului;
3. data (datele) călătoriei (călătoriilor) preconizate;
4. numele;
5. informații disponibile privind programele de fidelitate și avantajele oferite (de exemplu, bilete gratuite, transferul la o clasă superioară etc.);
6. alte nume din PNR, inclusiv numărul călătorilor din PNR;
7. toate informațiile disponibile privind datele de contact (inclusiv cele referitoare la sursa informației);
8. toate informațiile disponibile privind plata/facturarea (fără a include alte detalii ale tranzacției, referitoare la cartea de credit sau la contul bancar, care nu au legătură cu tranzacția efectuată în vederea călătoriei);
9. itinerarul de călătorie pentru PNR specific;
10. agenția/agentul de turism;
11. informații privind partajarea codurilor;
12. informații scindate/divizate;
13. etapa în care se află călătoria pasagerului (inclusiv confirmările și stadiul îmbarcării);
14. informații privind biletul, inclusiv numărul biletului, biletele doar dus și furnizarea automată a prețului unui bilet (Automated Ticket Fare Quote);
15. toate informațiile privind bagajele;
16. informații privind locul pasagerului, inclusiv numărul locului;
17. observații generale, inclusiv alte informații suplimentare (Other Supplementary Information – OSI), informații privind serviciile speciale (Special Service Information – SSI) și informații privind cereri ale serviciilor speciale (Special Service Request – SSR);
18. orice informații prealabile referitoare la pasageri (Advance Passenger Information – API) colectate în scopul rezervării;
19. un istoric al tuturor modificărilor aduse datelor PNR enumerate la punctele 1-18.”
VI. Aprecieri formulate de Parlament în cererea de aviz
A. Cu privire la temeiul juridic adecvat al deciziei Consiliului privind încheierea acordului preconizat
31 Potrivit Parlamentului, deși acordul preconizat urmărește, conform articolului 1, două finalități, și anume, pe de o parte, să asigure securitatea și siguranța populației și, pe de altă parte, să stabilească mijloacele prin care datele PNR sunt protejate, finalitatea sa principală este însă protecția datelor cu caracter personal. Astfel, dreptul Uniunii în materie de protecție a datelor de această natură s‑ar opune transferului de date PNR către țări terțe care nu asigură un nivel de protecție adecvat a datelor cu caracter personal. În fapt, acordul preconizat ar viza să creeze o formă de „decizie privind caracterul adecvat al nivelului de protecție”, în sensul articolului 25 alineatul (6) din Directiva 95/46, pentru a oferi un temei juridic transferului legal de date PNR din Uniune spre Canada. Această abordare ar fi identică cu cea adoptată anterior în acordul din 2006 și în Decizia 2006/253, aceasta din urmă fiind luată în temeiul articolului 25 alineatul (6) din Directiva 95/46.
32 Prin urmare, alegerea articolul 82 alineatul (1) al doilea paragraf litera (d) și a articolului 87 alineatul (2) litera (a) TFUE ca temeiuri juridice ale deciziei Consiliului privind încheierea acordului preconizat ar fi eronată. Această decizie ar trebui să se întemeieze mai degrabă pe articolul 16 TFUE, articol care se aplică în toate domeniile dreptului Uniunii, inclusiv în cele vizate în titlul V din partea a treia din Tratatul FUE, referitor la spațiul de libertate, securitate și justiție, fapt care ar fi confirmat de Declarația cu privire la protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, anexată la Actul final al Conferinței interguvernamentale care a adoptat Tratatul de la Lisabona (JO 2010, C 83, p. 345).
33 Conținutul acordului preconizat confirmă, în opinia Parlamentului, aprecierea sa potrivit căreia componenta principală a acestui acord privește protecția datelor cu caracter personal. Astfel, marea majoritate a dispozițiilor acordului preconizat, în special articolele sale cheie, care sunt articolul 4 alineatul (1) și articolul 5, ce constituie temeiul juridic al transferului legal de date PNR din Uniune către Canada, ar privi protecția datelor cu caracter personal. În plus, acest acord nu ar prevedea un transfer de date PNR de către autoritățile europene către autoritățile canadiene, ci un transfer al acestor date realizat de particulari, și anume companiile aeriene, către aceste din urmă autorități. Prin urmare, ar fi dificil să se conchidă că dispozițiile menționate țin de cooperarea judiciară și polițienească propriu‑zisă. Pe de altă parte, articolul 6 din acordul preconizat, intitulat „Cooperarea polițienească și judiciară”, ar avea numai un caracter accesoriu în raport cu articolele 4 și 5 din acesta, deoarece nu și‑ar putea găsi aplicarea fără ca, mai înainte, aceste din urmă articole să fi fost ele însele aplicate. Astfel, Canada nu ar putea să comunice informațiile în cauză fără să fi primit în prealabil datele PNR din partea transportatorilor aerieni, care, în ceea ce îi privește, nu ar putea transmite datele PNR către Canada decât pe baza unei „decizii privind caracterul adecvat al nivelului de protecție”. În plus, același articol 6 nu ar reglementa schimbul de informații între autoritățile vizate și nu ar face altceva decât să trimită la alte acorduri internaționale în materie.
34 În cazul în care Curtea ar considera însă că acordul preconizat urmărește finalități indisociabile, decizia Consiliului privind încheierea acestui acord s‑ar putea întemeia în același timp pe articolul 16, pe articolul 82 alineatul (1) al doilea paragraf litera (d) și pe articolul 87 alineatul (2) litera (a) TFUE. În ceea ce privește o eventuală aplicabilitate a protocoalelor nr. 21 și 22, Parlamentul amintește jurisprudența Curții rezultată din Hotărârea din 27 februarie 2014, Regatul Unit/Consiliul (C‑656/11, EU:C:2014:97, punctul 49), potrivit căreia este lipsită de influență asupra legalității alegerii temeiului juridic al unui act al Uniunii consecința pe care acesta o poate avea asupra aplicării sau a neaplicării unuia dintre protocoalele anexate la tratate.
B. Cu privire la compatibilitatea acordului preconizat cu dispozițiile Tratatului FUE și ale Cartei drepturilor fundamentale a Uniunii Europene
35 Parlamentul consideră, având în vedere îndoielile serioase exprimate de AEPD în special în avizul din 30 septembrie 2013 și jurisprudența care rezultă din Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), că există o incertitudine juridică în privința aspectului dacă acordul preconizat este compatibil cu articolul 16 TFUE, precum și cu articolul 7, cu articolul 8 și cu articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).
36 Potrivit Parlamentului, transferul datelor PNR din Uniune spre Canada în vederea unui eventual acces al autorităților canadiene la aceste date, așa cum este prevăzut de acordul preconizat, intră în domeniul de aplicare al articolelor 7 și 8 din cartă. Astfel, aceste date luate în ansamblu ar permite să se deducă concluzii foarte precise cu privire la viața privată a persoanelor ale căror date PNR sunt prelucrate, precum locurile lor de ședere permanentă sau temporară, deplasările și activitățile lor. Acest acord ar implica, așadar, ingerințe de largă amploare și de o gravitate deosebită în drepturile fundamentale garantate la articolele 7 și 8 din cartă.
37 Amintind cerințele cuprinse, pe de o parte, la articolul 52 alineatul (1) din cartă și, pe de altă parte, la articolul 8 alineatul (2) din aceasta, Parlamentul consideră că trebuie, prin urmare, să se pună întrebarea dacă acordul preconizat reprezintă o „lege”, în sensul acestor dispoziții, și dacă poate servi drept temei pentru restrângeri ale exercițiului drepturilor garantate la articolele 7 și 8 din cartă. Or, în timp ce termenul „lege” coincide un noțiunea „act legislativ” prevăzută de Tratatul FUE, un acord internațional nu ar constitui un asemenea act legislativ, astfel că s‑ar pune întrebarea dacă nu ar fi mai potrivit să se adopte un act intern, întemeiat pe articolul 16 TFUE, mai degrabă decât să se încheie un acord internațional, în temeiul articolului 218 TFUE, precum acordul preconizat.
38 În ceea ce privește principiul proporționalității, Parlamentul se referă la jurisprudența Curții care rezultă din Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238, punctele 47 și 48), și consideră că puterea de apreciere a legiuitorului Uniunii este redusă în speță, iar controlul jurisdicțional al respectării condițiilor care decurg din acest principiu trebuie să fie strict, din moment ce sunt în discuție, printre altele, ingerințe aduse drepturilor fundamentale.
39 În plus, după cum ar reieși din jurisprudența Curții Europene a Drepturilor Omului care rezultă din Hotărârea Curții Europene a Drepturilor Omului din 1 iulie 2008, Liberty și alții împotriva Regatului Unit (CE:ECHR:2008:0701JUD005824300, §§ 62 și 63), și din cea a Curții care rezultă din Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238, punctul 54, precum și jurisprudența citată), acordul preconizat ar trebui să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurilor respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date cu caracter personal au fost prelucrate să dispună de garanții suficiente care să permită protejarea în mod eficient a acestor date împotriva riscurilor de abuz, precum și împotriva oricărui acces și a oricărei utilizări ilicite.
40 Parlamentul ridică, în primul rând, la modul general, problema caracterului necesar, în sensul articolului 52 alineatul (1) a doua teză din cartă, al instituirii unui „sistem PNR”. Astfel, Consiliul și Comisia nu ar fi demonstrat până în prezent, pe baza unor elemente obiective, că încheierea acordului preconizat ar fi fost într‑adevăr necesară.
41 În al doilea rând, Parlamentul susține că acordul preconizat privește în mod global toți pasagerii aerieni, fără ca aceștia să se găsească într‑o situație care poate da naștere urmăririi penale și fără să fie impusă existența unei relații între datele lor PNR și o amenințare la adresa siguranței publice. La această lipsă generală de limite s‑ar adăuga faptul că criteriile și condițiile enunțate în acest acord ar fi vagi și nu ar permite să se limiteze prelucrarea de către autoritățile canadiene a datelor PNR la strictul necesar. Ar trebui arătat de asemenea că respectivul acord nu condiționează accesul autorităților canadiene la aceste date de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă, care să vizeze limitarea acestui acces, precum și a utilizării respectivelor date la ceea ce este strict necesar în vederea atingerii obiectivului urmărit, și care să fie efectuat în urma unei cereri motivate adresate acestei instanțe sau acestei entități, prezentată în cadrul procedurilor de prevenire, de detectare și de urmărire penală.
42 În al treilea rând, în ceea ce privește durata păstrării datelor PNR, stabilită la cinci ani prin articolul 16 din acordul preconizat, aceasta s‑ar aplica fără nicio distincție tuturor pasagerilor aerieni. În plus, Consiliul nu ar fi furnizat nicio justificare, întemeiată pe criterii obiective, în ceea ce privește alegerea unei astfel de durate. Chiar presupunând că durata de trei ani și jumătate prevăzută de acordul din 2006 ar fi fost admisibilă, s‑ar pune întrebarea pentru ce motiv a fost necesară prelungirea acestei durate la cinci ani.
43 În al patrulea și ultimul rând, Parlamentul susține că acordul preconizat nu garantează că măsurile pe care autoritățile canadiene vor trebui să le ia vor fi adecvate și vor îndeplini cerințele esențiale ale articolului 8 din cartă și ale articolului 16 TFUE.
VII. Rezumatul observațiilor prezentate Curții
44 Guvernele bulgar și estonian, Irlanda, guvernele spaniol și francez și guvernul Regatului Unit, precum și Consiliul și Comisia au depus observații scrise cu privire la prezenta cerere de aviz.
45 În plus, Curtea a adresat statelor membre și instituțiilor întrebări la care să se răspundă în scris, în temeiul articolului 196 alineatul (3) din Regulamentul de procedură al Curții, și a invitat de asemenea AEPD, în aplicarea articolului 24 al doilea paragraf din Statutul Curții de Justiție a Uniunii Europene, să răspundă la acestea. AEPD a transmis Curții observațiile sale.
A. Cu privire la admisibilitatea cererii de aviz
46 Guvernul francez și Consiliul ridică problema admisibilității celei de a doua întrebări din prezenta cerere de aviz. Astfel, pe de o parte, prin adresarea acestei întrebări, Parlamentul nu ar contesta nici competența Uniunii de a încheia acordul preconizat și nici repartizarea competențelor între Uniune și statele membre în această privință. Pe de altă parte, recurgerea, chiar eronată, la articolele 82 și 87 TFUE nu ar avea nicio incidență asupra procedurii care trebuie urmată pentru adoptarea deciziei Consiliului privind încheierea acordului preconizat, întrucât atât aplicarea articolului 16 TFUE, cât și aplicarea articolelor 82 și 87 TFUE ar impune să se legifereze potrivit procedurii legislative ordinare. Așadar, în oricare dintre cazuri ar fi aplicabil articolul 218 alineatul (6) litera (a) punctul (v) TFUE și, prin urmare, s‑ar impune aprobarea Parlamentului.
B. Cu privire la temeiul juridic adecvat al deciziei Consiliului privind încheierea acordului preconizat
47 Guvernele bulgar și estonian, Irlanda, guvernul francez și guvernul Regatului Unit, precum și Consiliul și Comisia consideră că obiectivul principal al acordului preconizat este de a asigura securitatea și siguranța populației, astfel cum reiese, printre altele, din primul, al doilea, al treilea și al cincilea paragraf din preambulul său, precum și din articolele 1 și 3 din acest acord. Deși protecția datelor cu caracter personal ar trebui să fie considerată de asemenea ca reprezentând un obiectiv al acestui acord, el ar fi accesoriu în raport cu obiectivul principal.
48 Consiliul și Comisia adaugă că, deși este adevărat că transferul datelor PNR spre țări terțe trebuie să respecte carta, stipulațiile acordului preconizat privind protecția acestor date constituie însă numai instrumentul prin intermediul căruia acest acord urmărește obiectivul de combatere a terorismului și a infracțiunilor transnaționale grave. Astfel, faptul că acordul menționat stabilește, printr‑un număr semnificativ de stipulații, modalitățile și condițiile transferului datelor PNR cu respectarea drepturilor fundamentale și ar crea o formă de „decizie privind caracterul adecvat al nivelului de protecție” nu ar infirma faptul că obiectivul principal al aceluiași acord rămâne securitatea și siguranța populației. Articolul 16 TFUE nu ar constitui temeiul juridic adecvat al unui act decât atunci când obiectivul principal al acestuia este protecția datelor cu caracter personal. În schimb, actele care au drept obiectiv realizarea politicilor sectoriale care necesită unele prelucrări ale datelor cu caracter personal ar trebui să fie fondate pe temeiul juridic corespunzător politicii în cauză și ar trebui să respecte în același timp articolul 8 din cartă și actele Uniunii adoptate în temeiul articolului 16 TFUE.
49 În ceea ce privește posibilitatea de a cumula articolul 16, articolul 82 alineatul (1) al doilea paragraf litera (d) și articolul 87 alineatul (2) litera (a) TFUE ca temeiuri juridice materiale ale deciziei Consiliului privind încheierea acordului preconizat, guvernul francez susține, în subsidiar, că un astfel de cumul este posibil, din moment ce aceste temeiuri juridice sunt compatibile între ele, în sensul că toate prevăd procedura legislativă ordinară. Cu siguranță, în principiu, având în vedere faptul că Irlanda și Regatul Unit, precum și Regatul Danemarcei nu participă, în virtutea protocoalelor nr. 21 și nr. 22, la adoptarea unor acte în temeiul titlului V din partea a treia din Tratatul FUE, un act nu s‑ar putea întemeia în același timp pe dispoziții din acest titlu și pe dispoziții care nu fac parte din acest titlu. Însă, în cazul în care se adoptă, în temeiul articolului 16 TFUE, norme privind prelucrarea de către statele membre a unor date cu caracter personal în exercitarea unor activități care intră în domeniul de aplicare al capitolului 4 sau 5 din titlul V din partea a treia din Tratatul FUE, Irlanda și Regatul Unit, precum și Regatul Danemarcei nu ar participa la adoptarea acestora deoarece, în conformitate cu articolul 6a din protocolul nr. 21 și, respectiv, cu articolul 2a din protocolul nr. 22, respectivele norme nu sunt obligatorii pentru aceste state membre.
50 În schimb, potrivit Consiliului, cumulul articolului 16 TFUE, pe de o parte, cu articolele 82 și 87 TFUE, pe de altă parte, nu ar fi admisibil din punct de vedere juridic, având în vedere normele specifice care reglementează modalitățile de vot în cadrul Consiliului și care decurg din protocoalele nr. 21 și nr. 22 în ceea ce privește participarea Irlandei și a Regatului Unit, precum și a Regatului Danemarcei.
C. Cu privire la compatibilitatea acordului preconizat cu dispozițiile Tratatului FUE și ale cartei
51 Toate statele membre care au prezentat observații Curții, precum și Consiliul și Comisia consideră în esență că acordul preconizat este compatibil cu dispozițiile Tratatului FUE și ale cartei.
52 În ceea ce privește existența unei ingerințe în drepturile fundamentale consacrate la articolele 7 și 8 din cartă, guvernele estonian și francez se raliază poziției susținute de Parlament potrivit căreia acordul preconizat presupune o astfel de ingerință întrucât obligă Uniunea, la articolul 4 alineatul (1), să nu împiedice transferul datelor PNR către autoritatea canadiană competentă și prevede, la articolul 3, prelucrarea acestor date de respectiva autoritate. Guvernul francez consideră însă că o astfel de ingerință nu ar trebui calificată drept deosebită de gravă, ținând seama de faptul că amploarea sa este mai mică decât cea care rezulta din Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE (JO 2006, L 105, p. 54, Ediție specială, 13/vol. 53, p. 51), în discuție în cauza în care s‑a pronunțat Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238). În plus, datele PNR nu ar permite să se deducă concluzii foarte precise cu privire la viața privată a pasagerilor aerieni.
53 Toate statele membre care au prezentat observații, precum și Consiliul și Comisia consideră că acordul preconizat urmărește un obiectiv de interes general, și anume combaterea terorismului și a altor infracțiuni transnaționale grave.
54 În ceea ce privește cerințele care decurg din principiul proporționalității, Consiliul și Comisia împărtășesc opinia Parlamentului și arată printre altele, făcând referire la jurisprudența Curții rezultată din Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238, punctul 54), și la articolul 6 alineatul (1) litera (c) din Directiva 95/46, că acordul preconizat trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea ingerinței în discuție și garanții suficiente care să permită protejarea în mod eficient a datelor cu caracter personal împotriva riscurilor de abuz, precum și împotriva oricărui acces și a oricărei utilizări cu caracter ilicit a acestor date.
55 În ceea ce privește în special caracterul necesar al transferului datelor PNR către Canada, Comisia, susținută de Consiliu, admite că nu există statistici precise care să indice contribuția acestor date la prevenirea și la detectarea criminalității și a terorismului, precum și la cercetarea și la urmărirea penală în materie. Cu toate acestea, caracterul indispensabil al utilizării datelor PNR ar fi confirmat de informațiile provenite de la țări terțe și de la state membre care utilizează deja aceste date în scopuri represive. Mai precis, expunerea de motive a propunerii de Directivă a Parlamentului European și a Consiliului din 2 februarie 2011 privind utilizarea datelor din registrul cu numele pasagerilor pentru prevenirea, depistarea, cercetarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave [COM(2011) 32 final] ar enunța în această privință că experiența dobândită în anumite țări demonstrează că utilizarea datelor PNR a contribuit în mod considerabil la combaterea traficului de droguri, a traficului de ființe umane și a terorismului și că permite să se înțeleagă mai bine componența și funcționarea rețelelor teroriste și a celorlalte rețele criminale.
56 În plus, autoritățile canadiene ar fi furnizat informații care demonstrează că datele PNR au contribuit în mod decisiv la identificarea unor potențiali suspecți de săvârșirea unor acte de terorism sau a unor infracțiuni transnaționale grave. Astfel, în condițiile în care 28 de milioane de pasageri au efectuat un zbor între Uniune și Canada între luna aprilie 2014 și luna martie 2015, aceste date ar fi permis să fie interogate 178 de persoane, precum și să se confiște produse stupefiante în 71 de cazuri și material cu caracter pedopornografic în două cazuri. Respectivele date ar fi făcut posibilă de asemenea începerea și continuarea unor investigații în legătură cu terorismul în 169 de cazuri. În sfârșit, ar rezulta din Comunicarea Comisiei din 21 septembrie 2010 privind o abordare globală referitoare la transferul de date din registrul cu numele pasagerilor (PNR) către țări terțe [COM(2010) 492 final, denumită în continuare „Comunicarea COM(2010) 492”] că Uniunea are obligația „față de sine însăși și față de țările terțe să coopereze cu ele în combaterea [amenințărilor teroriste și a infracțiuni internaționale grave]”.
57 Guvernul estonian, Irlanda, guvernele spaniol și francez și guvernul Regatului Unit, precum și Consiliul și Comisia consideră în esență că acordul preconizat respectă cerințele care decurg din principiul proporționalității și că prezenta cauză se distinge de cea în care s‑a pronunțat Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238). Mecanismul prevăzut de acest acord ar putea fi asimilat mai degrabă unui control sistematic efectuat la frontierele externe, precum și controalelor de securitate practicate în aeroporturi decât unei conservări a datelor precum cea vizată de Directiva 2006/24. În plus, acordul amintit, a cărui natură și ale cărui efecte ar fi mult mai limitate decât cele ale acestei directive, ar conține, spre deosebire de aceasta, norme stricte privind condițiile și limitele accesului la date și ale utilizării acestora, precum și norme referitoare la securitatea respectivelor date. În sfârșit, același acord ar prevedea o supraveghere a respectării acestor norme de către o autoritate independentă, informarea persoanelor în cauză în ceea ce privește transferul și prelucrarea datelor lor, un drept de acces și de corectare a datelor, precum și căi de atac administrative și judiciare în vederea asigurării garantării drepturilor acestor persoane.
58 În privința argumentului Parlamentului potrivit căruia acordul preconizat nu condiționează transferul datelor PNR de existența unei amenințări pentru securitatea populației, guvernele estonian și francez și guvernul Regatului Unit, precum și Comisia susțin în esență că utilizarea unor asemenea date urmărește identificarea persoanelor despre care serviciile competente nu au știut până atunci că prezintă un eventual risc pentru securitate, persoanele deja cunoscute în această privință putând fi identificate pe baza informațiilor prealabile cu privire la pasagerii aerieni. Obiectivul de prevenire nu ar putea fi, prin urmare, atins în cazul în care ar fi permisă doar transmiterea datelor PNR privind persoanele despre care s‑a semnalat deja că prezintă un risc pentru securitate.
59 Referitor la limitele privind utilizarea datelor PNR, Consiliul și Comisia susțin că trimiterea la dreptul canadian care figurează la articolul 3 alineatul (3) din acordul preconizat nu permite să se concluzioneze că acest acord ar fi prea vag. Instituțiile amintite arată în acest sens că este dificil să se includă într‑un acord internațional doar noțiuni prevăzute de dreptul Uniunii. În ceea ce privește articolul 3 alineatul (5) litera (b) din acordul preconizat, aceste instituții susțin că dispoziția menționată reflectă obligația impusă de Constituția canadiană tuturor autorităților publice canadiene de a se conforma unei decizii emise de o autoritate judiciară și care are forță obligatorie. În plus, această dispoziție ar implica faptul ca accesul la datele PNR să fie examinat de autoritatea judiciară în raport cu criteriile de necesitate și de proporționalitate și să fie motivat în decizia judiciară. În sfârșit, autoritățile canadiene nu ar fi pus niciodată în practică această dispoziție de la intrarea în vigoare a acordului din 2006.
60 În ceea ce privește limitele referitoare la autoritățile și la persoanele care au acces la datele PNR, Consiliul și Comisia consideră că neidentificarea în acordul preconizat a autorității canadiene competente este o chestiune de natură procedurală, lipsită de incidență asupra respectării în acest acord a principiului proporționalității. În orice caz, în luna iunie 2014, Canada ar fi informat Uniunea că autoritatea canadiană competentă, în sensul articolului 2 litera (d) din acordul menționat, este ASFC. Din moment ce, în conformitate cu articolul 16 alineatul (2) din acordul preconizat, Canada trebuie să restrângă accesul la datele PNR la un „număr limitat de funcționari pe care îi autorizează în acest sens”, ar însemna că numai agenții ASFC sunt abilitați să primească și să prelucreze aceste date. Garanții suplimentare ar figura la articolul 9 alineatul (2) literele (a) și (b), precum și la articolul 9 alineatele (4) și (5) din acest acord.
61 În ceea ce privește faptul că acordul preconizat nu condiționează accesul la datele PNR de un control prealabil exercitat de o autoritate judiciară sau administrativă independentă, Irlanda consideră că un asemenea control prealabil nu este indispensabil având în vedere garanțiile care figurează deja la articolele 11-14, 16, 18 și 20 din acest acord. Guvernul estonian și guvernul Regatului Unit consideră că nu este posibil să se stabilească în avans criteriile ce corespund datelor PNR care trebuie prelucrate, astfel că nu se poate impune în mod sistematic obținerea unei autorizații prealabile. O asemenea autorizație nu ar putea fi, așadar, decât generală și nu ar aduce, prin urmare, nicio valoare adăugată.
62 Referitor la problema comunicării datelor PNR către alte autorități, Comisia arată că articolele 1, 3, 18 și 19 din acordul preconizat definesc cu strictețe finalitățile în care pot fi prelucrate aceste date, precum și condițiile în care pot fi divulgate. În orice caz, după cum subliniază această instituție, orice comunicare de date PNR trebuie să fie înregistrată și documentată, astfel cum impune articolul 17 din acordul menționat, și trebuie să facă obiectul unui control a posteriori de către o autoritate independentă.
63 În ceea ce privește durata păstrării datelor PNR, guvernele estonian și francez, Irlanda și guvernul Regatului Unit susțin că aceasta nu depășește ceea ce este strict necesar în contextul global al acordului preconizat. Dată fiind natura complexă și dificilă a anchetelor privind faptele de terorism și infracțiunile transnaționale grave, s‑ar putea să se scurgă o anumită perioadă între călătoria efectuată de pasagerul vizat de astfel de fapte și momentul în care autoritățile pentru aplicarea legii au nevoie de acces la datele PNR pentru a detecta, a cerceta și a urmări penal astfel de infracțiuni. Încheierea procedurilor penale ar putea să intervină, eventual, la mai mult de cinci ani după transmiterea datelor PNR. În plus, ar trebui să se țină seama de dispozițiile articolului 16 din acest acord, care impun modalități stricte în ceea ce privește mascarea și demascarea datelor PNR, cu scopul de a proteja într‑o mai mare măsură datele cu caracter personal, precum și de dispozițiile articolului 8 alineatul (5) din acordul amintit, care prevăd un regim special pentru datele sensibile.
64 Consiliul și Comisia adaugă că, în conformitate cu articolul 6 din Directiva 95/46, durata de păstrare a datelor PNR trebuie să fie stabilită în funcție de caracterul necesar al acestor date în raport cu realizarea obiectivelor urmărite prin colectarea lor, astfel încât caracterul proporțional al unei anumite durate de păstrare nu poate fi apreciat în abstract. Aceste instituții subliniază că durata de păstrare de cinci ani prevăzută de acordul preconizat a fost considerată de părțile la acest acord ca fiind strict necesară pentru realizarea scopurilor pe care le urmărește acesta. Ele adaugă că, în schimb, o perioadă de trei ani și jumătate, precum cea prevăzută în acordul din 2006, ar fi fost susceptibilă, astfel cum susține Canada, să împiedice utilizarea în mod efectiv a datelor PNR pentru a detecta cazurile care prezintă un risc ridicat de terorism sau de crimă organizată, având în vedere faptul că investigațiile necesită timp. În plus, acordul preconizat ar prevedea la articolul 16 alineatul (3) o primă depersonalizare a datelor PNR la 30 de zile după ce au fost primite și încă o depersonalizare după doi ani.
65 În ceea ce privește controlul respectării normelor de protecție a datelor cu caracter personal de către o autoritate independentă, impus de articolul 8 alineatul (3) din cartă și de articolul 16 alineatul (2) TFUE, Consiliul și Comisia consideră că neidentificarea în acordul preconizat a autorității canadiene competente nu afectează caracterul adecvat al măsurilor pe care trebuie să le ia Canada. Aceste instituții adaugă că a fost comunicată Comisiei identitatea autorităților competente vizate la articolele 10 și 14 din acest acord.
66 În privința jurisprudenței Curții rezultate în special din Hotărârea din 9 martie 2010, Comisia/Germania (C‑518/07, EU:C:2010:125, punctul 30), potrivit căreia o autoritate de supraveghere trebuie să beneficieze de o independență care să îi permită să își exercite atribuțiile fără nicio influență exterioară, Comisia arată că Comisarul pentru Protecția Vieții Private canadian este o autoritate independentă atât la nivel instituțional, cât și la nivel funcțional. Comisia adaugă că, având în vedere faptul că legislația canadiană nu instituie un drept de acces pentru străinii care nu locuiesc în Canada, a trebuit să se prevadă, la articolele 10 și 14 din acordul preconizat, instituirea unei „autorități create prin mijloace administrative” pentru a garanta că toate persoanele potențial vizate își pot exercita drepturile, inclusiv dreptul de acces.
VIII. Poziția Curții
67 Cu titlu introductiv, trebuie amintit că, potrivit unei jurisprudențe constante a Curții, dispozițiile unui acord internațional încheiat de Uniune, conform articolelor 217 și 218 TFUE, fac parte integrantă, începând cu intrarea în vigoare a acestuia, din ordinea juridică a Uniunii [a se vedea în acest sens Hotărârea din 30 aprilie 1974, Haegeman, 181/73, EU:C:1974:41, punctul 5, precum și Hotărârea din 11 martie 2015, Oberto și OʼLeary, C‑464/13 și C‑465/13, EU:C:2015:163, punctul 29, și Avizul 2/13 (Aderarea Uniunii Europene la CEDO) din 18 decembrie 2014, EU:C:2014:2454, punctul 180]. Dispozițiile unui astfel de acord trebuie să fie, așadar, pe deplin compatibile cu tratatele și cu principiile constituționale care decurg din acestea.
A. Cu privire la admisibilitatea cererii de aviz
68 Potrivit articolului 218 alineatul (11) TFUE, un stat membru, Parlamentul, Consiliul sau Comisia poate obține avizul Curții cu privire la compatibilitatea cu tratatele a unui acord a cărui încheiere este preconizată.
69 Conform jurisprudenței constante a Curții, această dispoziție urmărește să prevină complicațiile care ar rezulta din contestarea în justiție a compatibilității cu tratatele a acordurilor internaționale care angajează Uniunea. Astfel, o decizie judiciară care constată eventual, după încheierea unui acord internațional care angajează Uniunea, că acesta este incompatibil cu dispozițiile tratatelor, având în vedere fie conținutul său, fie procedura adoptată pentru încheierea sa, ar crea cu siguranță, nu numai pe planul intern al Uniunii, ci și pe cel al relațiilor internaționale, dificultăți serioase și ar risca să prejudicieze toate persoanele interesate, inclusiv statele terțe [Avizul 2/13 (Aderarea Uniunii la CEDO) din 18 decembrie 2014, EU:C:2014:2454, punctele 145 și 146, precum și jurisprudența citată].
70 Trebuie să fie examinate, așadar, în cadrul procedurii prevăzute la articolul 218 alineatul (11) TFUE, toate aspectele de natură să provoace îndoieli cu privire la validitatea materială sau formală a acordului în raport cu tratatele. Aprecierea compatibilității unui acord cu tratatele poate, în această privință, să depindă nu numai de dispozițiile care privesc competența, procedura sau organizarea instituțională a Uniunii, ci și de dispoziții din dreptul material [a se vedea în acest sens, în ceea ce privește articolul 300 alineatul (6) CE, Avizul 1/08 (Acorduri de modificare a listelor de angajamente specifice în temeiul GATS) din 30 noiembrie 2009, EU:C:2009:739, punctul 108 și jurisprudența citată]. Aceleași aprecieri sunt valabile în privința problemei compatibilității unui acord internațional cu articolul 6 alineatul (1) primul paragraf TUE și, în consecință, cu garanțiile consacrate de cartă, aceasta având aceeași valoare juridică cu tratatele.
71 În ceea ce privește aspectul referitor la temeiul juridic adecvat al deciziei Consiliului de încheiere a acordului preconizat, trebuie amintit că alegerea temeiului juridic adecvat prezintă o importanță de natură constituțională, din moment ce, nedispunând decât de competențe atribuite, Uniunea trebuie să asocieze actele pe care le adoptă unor dispoziții din Tratatul TFUE care o abilitează efectiv în acest scop (a se vedea în acest sens Hotărârea din 1 octombrie 2009, Comisia/Consiliul, C‑370/07, EU:C:2009:590, punctul 47).
72 Prin urmare, recurgerea la un temei juridic eronat este susceptibilă să invalideze însuși actul încheierii și, prin urmare, să vicieze consimțământul Uniunii de a fi ținută de acordul la care a subscris.
73 Argumentul guvernului francez și al Consiliului potrivit căruia alegerea eventual eronată a temeiului juridic nu ar avea în speță nicio incidență asupra competenței Uniunii de a încheia acordul preconizat, asupra repartizării competențelor între Uniune și statele membre în această privință ori asupra procedurii de adoptare care trebuie urmată nu este de natură să atragă inadmisibilitatea celei de a doua întrebări adresate în prezenta cerere de aviz.
74 Astfel, având în vedere funcția procedurii prevăzute la articolul 218 alineatul (11) TFUE, amintită la punctul 69 din prezentul aviz, constând în prevenirea, prin intermediul unei sesizări prealabile a Curții, a eventualelor complicații la nivelul Uniunii și la nivel internațional care ar rezulta din invalidarea unui act de încheiere a unui acord internațional, simplul risc al unei asemenea invalidări este suficient pentru a admite sesizarea Curții. În plus, aspectul privind cunoașterea incidențelor efective pe care le‑ar avea într‑o situație dată alegerea eronată a temeiurilor juridice asupra validității unui act de încheiere a unui acord internațional, precum decizia Consiliului privind încheierea acordului preconizat, este indisociabil legat de examinarea pe fond a problemei temeiului juridic adecvat și nu poate fi apreciată, așadar, în cadrul admisibilității unei cereri de aviz.
75 Rezultă din cele ce precedă că prezenta cerere de aviz este admisibilă în integralitate.
B. Cu privire la temeiul juridic adecvat al deciziei Consiliului privind încheierea acordului preconizat
76 Potrivit unei jurisprudențe constante a Curții, alegerea temeiului juridic al unui act al Uniunii, inclusiv cel adoptat în vederea încheierii unui acord internațional, trebuie să fie fondată pe elemente obiective, care pot fi supuse unui control jurisdicțional, printre care figurează finalitatea și conținutul acestui act (Hotărârea din 6 mai 2014, Comisia/Parlamentul și Consiliul, C‑43/12, EU:C:2014:298, punctul 29, precum și Hotărârea din 14 iunie 2016, Parlamentul/Consiliul, C‑263/14, EU:C:2016:435, punctul 43 și jurisprudența citată).
77 Dacă examinarea unui act al Uniunii demonstrează că acesta urmărește două finalități sau că are două componente și dacă una dintre aceste finalități sau componente poate fi identificată ca fiind principală, iar cealaltă nu este decât accesorie, actul trebuie să aibă un temei juridic unic, și anume temeiul impus de finalitatea sau de componenta principală ori preponderentă. În mod excepțional, dacă se stabilește, în schimb, că actul urmărește simultan mai multe obiective sau are mai multe componente care sunt legate în mod indisolubil, fără ca vreuna să fie accesorie în raport cu alta, astfel că sunt aplicabile dispoziții diferite din tratat, o astfel de măsură trebuie să fie adoptată pe baza diferitor temeiuri juridice corespunzătoare (Hotărârea din 14 iunie 2016, Parlamentul/Consiliul, C‑263/14, EU:C:2016:435, punctul 44 și jurisprudența citată).
78 Cu toate acestea, este exclusă utilizarea unui dublu temei juridic atunci când procedurile prevăzute pentru cele două temeiuri juridice sunt incompatibile (Hotărârea din 6 noiembrie 2008, Parlamentul/Consiliul, C‑155/07, EU:C:2008:605, punctul 37 și jurisprudența citată).
79 În lumina acestor considerații trebuie stabilit temeiul juridic adecvat pentru decizia Consiliului privind încheierea acordului preconizat.
1. Cu privire la finalitatea și la conținutul acordului preconizat
80 Părțile contractante intenționează, astfel cum reiese din cuprinsul celui de al treilea paragraf din preambulul acordului preconizat, să consolideze și să încurajeze cooperarea dintre ele prin acest acord. În acest scop, articolul 1 din acordul amintit, intitulat „Scopul acordului”, prevede că „părțile stabilesc condițiile care reglementează transferul și utilizarea [datelor PNR] pentru a asigura securitatea și siguranța populației și stabilesc mijloacele prin care datele respective sunt protejate”.
81 În ceea ce privește obiectivul de protecție a securității și a siguranței populației enunțat la acest articol 1, primul paragraf din preambulul acordului preconizat precizează printre alte că părțile acționează în dorința de a preveni, de a combate, de a elimina și de a reprima terorismul și infracțiunile care au legătură cu terorismul și alte infracțiuni transnaționale grave. În această perspectivă, preambulul evidențiază, la al doilea și la al patrulea paragraf, importanța, pe de o parte, a combaterii terorismului, a infracțiunilor care au legătură cu terorismul și a altor infracțiuni transnaționale grave și, pe de altă parte, a utilizării datelor PNR și a schimbului de informații în vederea acestei combateri. Pe baza acestor constatări, al cincilea paragraf din preambul indică faptul că trebuie stabilite norme care să reglementeze transferul de date PNR efectuat de transportatorii aerieni către Canada pentru a garanta siguranța publică și în scopul aplicării legii. În sfârșit, al șaisprezecelea paragraf din același preambul subliniază importanța schimbului de date PNR și de informații analitice relevante și pertinente care conțin date PNR, obținute de Canada, cu autoritățile polițienești și judiciare competente ale statelor membre ale Uniunii, precum și cu Europol și cu Eurojust, ca mijloc de promovare a cooperării polițienești și judiciare internaționale.
82 Prin urmare, trebuie să se considere că acordul preconizat urmărește obiectivul de a asigura securitatea publică prin intermediul unui transfer de date PNR către Canada și al utilizării acestora pentru combaterea infracțiunilor de terorism și a altor infracțiuni transnaționale grave, inclusiv prin intermediul schimbului acestor date cu autoritățile competente ale statelor membre ale Uniunii, precum și cu Europol și cu Eurojust.
83 Referitor la cel de al doilea obiectiv enunțat la articolul 1 din acordul preconizat, și anume stabilirea mijloacelor de protecție a datelor PNR, trebuie arătat, pe de o parte, că al doilea, al șaselea și al șaptelea paragraf din preambulul acestui acord subliniază necesitatea de a respecta, în conformitate cu angajamentele Uniunii în temeiul articolului 6 TUE, drepturile fundamentale, în special dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal, garantate la articolele 7 și 8 din cartă, amintind totodată că părțile contractante împărtășesc valori comune în ceea ce privește protecția datelor și a vieții private.
84 Pe de altă parte, din dispozițiile articolului 5 din acordul preconizat rezultă că normele pe care autoritatea canadiană competentă trebuie să le respecte cu prilejul prelucrării datelor PNR trebuie să asigure un nivel adecvat de protecție, impus de dreptul Uniunii, în domeniul protecției datelor cu caracter personal, astfel că acest acord urmărește totodată obiectivul de a garanta un asemenea nivel de protecție a respectivelor date.
85 Acestea sunt considerațiile în lumina cărora articolul 1 din acordul preconizat enunță expres cele două obiective pe care la urmărește acest acord.
86 În ceea ce privește conținutul acordului preconizat, trebuie arătat că, în prima sa parte, intitulată „Dispoziții generale” (articolul 1-6), se găsește articolul 5, care prevede că, sub rezerva conformității cu acordul amintit, autoritatea canadiană competentă se consideră că asigură un nivel adecvat de protecție, în sensul dreptului Uniunii în domeniul protecției datelor, în ceea ce privește prelucrarea și utilizarea datelor PNR și că orice transportator aerian care furnizează astfel de date Canadei în executarea aceluiași acord se consideră că respectă cerințele prevăzute de dreptul Uniunii privind transferul acestor date din Uniune către Canada. Această primă parte conține și articolul 4 din acordul preconizat, care prevede la alineatul (1) că Uniunea asigură faptul că transportatorii aerieni nu sunt împiedicați să transfere date PNR autorității canadiene competente, aceasta fiind, în temeiul articolului 2 litera (d) din acordul amintit, responsabilă cu primirea și prelucrarea acestor date. Pe de altă parte, articolul 3 din respectivul acord, care stabilește finalitățile ce justifică prelucrarea datelor PNR de către autoritatea canadiană competentă, stipulează la alineatul (1) că această prelucrare este autorizată numai în scopul prevenirii, al detectării, al cercetării sau al urmăririi penale a infracțiunilor de terorism sau a infracțiunilor transnaționale grave, prevăzând totodată la alineatele (4) și (5) excepții limitate de la această regulă. În sfârșit, potrivit articolului 6 din același acord, datele PNR, precum și informațiile analitice relevante și pertinente care conțin astfel de date sunt comunicate sau puse la dispoziția autorităților judiciare sau polițienești din statele membre, a Europol sau a Eurojust, în conformitate cu acordurile și cu dispozițiile privind aplicarea legii sau schimbul de informații.
87 În partea a doua, intitulată „Garanții aplicabile prelucrării datelor PNR” (articolele 7-21), acordul preconizat enunță normele și principiile care reglementează și delimitează utilizarea datelor PNR în Canada de către autoritatea canadiană competentă, precum și divulgarea acestora altor autorități publice din această țară terță și autorităților publice din alte țări terțe. Astfel, acordul preconizat conține la articolul 7 o clauză de nediscriminare, iar la articolul 8, o normă specifică datelor sensibile, însoțită de condiții limitative privind utilizarea acestor date. Această a doua parte prevede și norme, cuprinse la articolul 9 și, respectiv, la articolul 10 din acest acord, referitoare, pe de o parte, la securitatea și la integritatea datelor PNR și, pe de altă parte, la supravegherea respectării garanțiilor care figurează în acordul amintit. Cât privește articolele 11-14 din același acord, acestea enunță o regulă de transparență și stabilesc drepturile persoanelor ale căror date PNR sunt vizate, precum dreptul de acces la date, dreptul de a solicita corectarea acestora și dreptul la o cale de atac.
88 Tot în cea de a doua parte, acordul preconizat impune Canadei, la articolul 15, să se abțină de la adoptarea unor decizii care au urmări negative semnificative exclusiv pe baza prelucrării automate a datelor PNR și prevede, la articolul 16, norme privind, printre altele, durata de păstrare a acestor date, precum și mascarea și demascarea lor. Această a doua parte stabilește, în plus, la articolele 18 și 19, norme privind divulgarea datelor respective de către autoritatea canadiană competentă și enunță, la articolele 20 și 21, norme privind metoda de transfer și frecvența transferurilor acelorași date.
89 Rezultă din diversele constatări referitoare la conținutul acordului preconizat că acesta privește în special instituirea unui sistem compus dintr‑un ansamblu de norme menite să protejeze datele cu caracter personal și pe care Canada se angajează să le respecte cu prilejul prelucrării datelor PNR, astfel cum enunță al cincisprezecelea paragraf din preambulul acestui acord.
90 Ținând seama în același timp de finalitățile sale și de conținutul său, acordul preconizat prezintă, așadar, două componente, una referitoare la necesitatea de a asigura securitatea publică, iar cealaltă referitoare la protecția datelor PNR.
91 În ceea ce privește problema de a stabili care dintre aceste două componente este preponderentă, trebuie arătat că, în mod cert, transferul datelor PNR de către transportatorii aerieni către Canada și utilizarea acestora de către autoritatea canadiană competentă nu se justifică, în sine, decât prin obiectivul constând în asigurarea securității publice în această țară terță, precum și în cadrul Uniunii.
92 Cu toate acestea, conținutul acordului preconizat constă în mare măsură din norme detaliate care asigură că transferul datelor PNR către Canada în vederea utilizării lor în scopul protecției securității și siguranței populației se desfășoară în condiții conforme cu protecția datelor cu caracter personal.
93 În această privință, este necesar să se arate că transferul datelor cu caracter personal, precum datele PNR, din Uniune către o țară terță se poate efectua în mod legal numai dacă în această țară există norme care asigură un nivel de protecție a libertăților și a drepturilor fundamentale în esență echivalent cu cel garantat în cadrul Uniunii (a se vedea în acest sens Hotărârea din 6 octombrie 2015, Schrems, C‑362/14, EU:C:2015:650, punctele 68 și 74).
94 Rezultă că cele două componente ale acordului preconizat sunt legate în mod indisociabil. Trebuie să se considere, așadar, că amândouă prezintă un caracter esențial.
2. Cu privire la temeiul juridic adecvat în raport cu Tratatul FUE
95 Având în vedere considerațiile care precedă, decizia privind încheierea acordului preconizat este legată în mod direct, în primul rând, de obiectivul pe care îl urmărește articolul 16 alineatul (2) TFUE.
96 Astfel, această dispoziție constituie, fără a aduce atingere articolului 39 TUE, un temei juridic adecvat atunci când protecția datelor cu caracter personal este una dintre finalitățile sau componentele esențiale ale normelor adoptate de legiuitorul Uniunii, inclusiv ale celor care se inserează în cadrul adoptării de măsuri care fac parte din dispozițiile Tratatului FUE referitoare la cooperarea judiciară în materie penală și la cooperarea polițienească, după cum o confirmă articolul 6a din protocolul nr. 21 și articolul 2a din protocolul nr. 22, precum și declarația menționată la punctul 32 din prezentul aviz.
97 Rezultă că decizia Consiliului privind încheierea acordului preconizat trebuie să se întemeieze pe articolul 16 TFUE.
98 În al doilea rând, această decizie trebuie să se întemeieze articolul 87 alineatul (2) litera (a) TFUE. Astfel, această dispoziție prevede că, în sensul articolului 87 alineatul (1) TFUE, potrivit căruia Uniunea „instituie o cooperare polițienească care implică toate autoritățile competente din statele membre”, Parlamentul și Consiliul pot stabili măsuri referitoare la „colectarea, stocarea, prelucrarea și analizarea informațiilor în domeniu, precum și schimbul de informații”.
99 Or, în această privință trebuie arătat, pe de o parte, că informațiile, în sensul articolului 87 alineatul (2) litera (a) TFUE, în domeniul prevenirii sau al depistării și al cercetării infracțiunilor pot include date cu caracter personal și, pe de altă parte, că termenii „prelucrare” și „schimb” de astfel de date acoperă transferul către autoritățile statelor membre competente în materie și în același timp utilizarea lor de către aceste autorități. În aceste condiții, măsurile privind transferul de date cu caracter personal către autoritățile competente în domeniul prevenirii sau al depistării și al cercetării infracțiunilor și măsurile privind prelucrarea acestor date de către respectivele autorități țin de cooperarea polițienească vizată la articolul 87 alineatul (2) litera (a) TFUE și se pot întemeia pe această dispoziție.
100 În speță, acordul preconizat prevede în special norme care reglementează atât transferul datelor PNR către autoritatea canadiană competentă, cât și utilizarea acestor date de către respectiva autoritate. Această autoritate este, conform articolului 2 litera (d) coroborat cu articolul 3 alineatul (1) din acest acord, competentă să prelucreze datele PNR în scopul prevenirii, al detectării, al cercetării sau al urmăririi penale a infracțiunilor de terorism sau a infracțiunilor transnaționale grave. În plus, potrivit articolului 6 din acordul menționat, de îndată ce este posibil, Canada face schimb, pe de o parte, de informații analitice relevante și pertinente care conțin date PNR cu Europol și cu Eurojust, precum și cu autoritățile judiciare sau polițienești ale unui stat membru. Pe de altă parte, acest articol stipulează că, la cererea acestor agenții și autorități, Canada face schimb de date PNR sau de informații analitice care conțin astfel de date în cazuri specifice, pentru a preveni, a detecta, a cerceta sau a urmări penal în Uniunea Europeană o infracțiune de terorism sau o infracțiune transnațională gravă. După cum a arătat avocatul general la punctele 105 și 106 din concluzii, același acord privește astfel prelucrarea și schimbul de informații, în sensul articolului 87 alineatul (2) litera (a) TFUE, și se înscrie, după cum rezultă în special din cuprinsul punctului 80 din prezentul aviz, în finalitatea urmărită la articolul 87 alineatul (1) TFUE.
101 În aceste condiții, faptul că datele PNR sunt colectate inițial de transportatorii aerieni în scopuri comerciale, iar nu de o autoritate competentă în domeniul prevenirii sau al depistării și al cercetării infracțiunilor, nu poate să reprezinte, contrar celor susținute de Parlament, un obstacol pentru ca articolul 87 alineatul (2) litera (a) TFUE să constituie de asemenea un temei juridic adecvat al deciziei privind încheierea acordului preconizat.
102 În schimb, această decizie nu se poate întemeia pe articolul 82 alineatul (1) al doilea paragraf litera (d) TFUE, care prevede posibilitatea ca Parlamentul și Consiliul să adopte măsuri privind „facilitarea cooperării dintre autoritățile judiciare sau echivalente ale statelor membre în materie de urmărire penală și executare a deciziilor”.
103 Astfel, după cum a arătat avocatul general la punctul 108 din concluzii, niciuna dintre dispozițiile acordului preconizat nu vizează facilitarea unei asemenea cooperări. În ceea ce privește autoritatea canadiană competentă, aceasta nu constituie nici o autoritate judiciară, nici o autoritate echivalentă.
104 În aceste condiții, având în vedere jurisprudența citată la punctul 77 din prezentul aviz, decizia Consiliului privind încheierea acordului preconizat ar trebui să se întemeieze atât pe articolul 16 alineatul (2), cât și pe articolul 87 alineatul (2) litera (a) TFUE, cu excepția cazului în care o astfel de combinație de temeiuri juridice este exclusă în conformitate cu jurisprudența amintită la punctul 78 din prezentul aviz.
3. Cu privire la compatibilitatea procedurilor prevăzute la articolul 16 alineatul (2) și la articolul 87 alineatul (2) litera (a) TFUE
105 Cu titlu introductiv, trebuie amintit că, în cadrul procedurii de încheiere a unui acord internațional conform articolului 218 TFUE, temeiurile juridice materiale ale deciziei privind încheierea acestui acord determină tipul de procedură aplicabilă în virtutea articolului 218 alineatul (6) TFUE (Hotărârea din 24 iunie 2014, Parlamentul/Consiliul, C‑658/11, EU:C:2014:2025, punctul 58).
106 Temeiurile juridice materiale aplicabile în speță, și anume articolul 16 alineatul (2) și articolul 87 alineatul (2) litera (a) TFUE, prevăd utilizarea procedurii legislative ordinare, care implică votul cu majoritate calificată în Consiliu și participarea deplină a Parlamentului. Prin urmare, utilizarea concomitentă a acestor două dispoziții nu conduce, în principiu, la proceduri de adoptare diferite.
107 Cu toate acestea, Consiliul susține în esență că, din cauza dispozițiilor cuprinse în protocoalele nr. 21 și nr. 22, regulile de vot în cadrul Consiliului sunt diferite după cum decizia privind încheierea unui acord internațional este întemeiată pe articolul 16 alineatul (2) sau pe articolul 87 alineatul (2) litera (a) TFUE.
108 În această privință trebuie arătat că, desigur, Curtea a statuat deja că protocoalele nr. 21 și nr. 22 nu sunt susceptibile să aibă vreun efect de orice natură asupra chestiunii temeiului juridic adecvat pentru adoptarea deciziei vizate (a se vedea în acest sens Hotărârea din 22 octombrie 2013, Comisia/Consiliul, C‑137/12, EU:C:2013:675, punctul 73).
109 Totuși, în măsura în care o diferență în privința regulilor de vot în cadrul Consiliului poate antrena incompatibilitatea temeiurilor juridice în cauză (a se vedea în acest sens Hotărârea din 10 ianuarie 2006, Comisia/Parlamentul și Consiliul, C‑178/03, EU:C:2006:4, punctul 58, precum și Hotărârea din 19 iulie 2012, Parlamentul/Consiliul, C‑130/10, EU:C:2012:472, punctele 47 și 48), se impune să se verifice incidența respectivelor protocoale asupra regulilor de vot în cadrul Consiliului în cazul utilizării concomitente a articolului 16 alineatul (2) și a articolului 87 alineatul (2) litera (a) TFUE pentru fundamentarea deciziei Consiliului privind încheierea acordului preconizat.
110 În ceea ce privește protocolul nr. 21, reiese din cuprinsul considerentului (5) al proiectului de decizie a Consiliului privind încheierea acordului preconizat că Irlanda și Regatul Unit și‑au notificat intenția de a participa la adoptarea acestei decizii. Prin urmare, după cum a arătat avocatul general la punctul 128 din concluzii, dispozițiile acestui protocol nu au nicio incidență asupra regulilor de vot în cadrul Consiliului în cazul utilizării concomitente a articolului 16 alineatul (2) și a articolului 87 alineatul (2) litera (a) TFUE pentru fundamentarea deciziei amintite.
111 În ceea ce privește protocolul nr. 22, acesta vizează, astfel cum reiese din cuprinsul celor de al treilea, al patrulea și al cincilea paragraf din preambulul său și după cum a arătat avocatul general la punctul 132 din concluzii, să instituie un cadru juridic care permite statelor membre să continue dezvoltarea cooperării în domeniul spațiului de libertate, securitate și justiție prin adoptarea, fără participarea Regatului Danemarcei, a unor măsuri care nu sunt obligatorii pentru acest stat membru, oferindu‑i totodată posibilitatea de a participa la adoptarea unor măsuri în acest domeniu și de a fi ținut de ele în condițiile prevăzute la articolul 8 din protocolul amintit.
112 În acest scop, articolul 1 primul paragraf din protocolul nr. 22 prevede că Regatul Danemarcei nu participă la adoptarea de către Consiliu a măsurilor propuse care intră sub incidența părții a treia titlul V din Tratatul TFUE. În plus, articolul 2 din acest protocol prevede că astfel de măsuri nu sunt obligatorii pentru Regatul Danemarcei. Acest articol 2 „se aplică de asemenea”, conform articolului 2a din același protocol, „în privința acelor norme stabilite în temeiul articolului 16 [TFUE] referitor la prelucrarea datelor cu caracter personal de către statele membre în exercitarea activităților care intră sub incidența domeniului de aplicare al părții a treia titlul V capitolul 4 sau 5 din tratatul menționat”, și anume cele care intră sub incidența cooperării polițienești și judiciare în materie penală.
113 În speță, din moment ce decizia privind încheierea acordului preconizat trebuie să se întemeieze în același timp pe articolul 16 și pe articolul 87 TFUE și se încadrează, așadar, în partea a treia titlul V capitolul 5 din Tratatul FUE deoarece trebuie să se întemeieze pe articolul 87 TFUE menționat, nici dispozițiile acestei decizii și, prin urmare, nici acordul preconizat nu vor fi obligatorii pentru Regatul Danemarcei, în conformitate cu articolele 2 și 2a din protocolul nr. 22. În plus, Regatul Danemarcei nu va participa, conform articolului 1 din acest protocol, la adoptarea acestei decizii.
114 Contrar a ceea ce pare să sugereze Consiliul, această concluzie nu este infirmată de împrejurarea că articolul 2a din protocolul nr. 22 se limitează la a face trimitere la articolul 2 din respectivul protocol, fără a exclude însă în mod explicit participarea Regatului Danemarcei la adoptarea unor norme care se întemeiază pe articolul 16 TFUE și care sunt vizate în cuprinsul acestuia.
115 În această privință, dintr‑o interpretare sistematică a acestui protocol rezultă că articolul 2 din acesta nu poate fi interpretat și aplicat independent de articolul 1 din respectivul protocol. Într‑adevăr, norma prevăzută la articolul 2, potrivit căreia măsurile, dispozițiile și deciziile vizate de acesta nu sunt obligatorii pentru Regatul Danemarcei, este legată intrinsec de norma prevăzută la articolul 1, potrivit căreia acest stat membru nu participă la adoptarea de măsuri care intră sub incidența părții a treia titlul V din Tratatul FUE, astfel încât cele două norme nu pot fi înțelese una fără alta. În aceste condiții, trimiterea pe care articolul 2a o face la articolul 2 din protocolul nr. 22 trebuie interpretată în mod necesar în sensul că vizează și articolul 1 din acesta.
116 În plus, după cum a arătat avocatul general la punctul 132 din concluzii, ar fi contrar obiectului protocolului nr. 22, amintit la punctul 111 din prezentul aviz, să se permită Regatului Danemarcei să participe la adoptarea unui act al Uniunii având ca temei juridic atât articolul 16 TFUE, cât și una dintre dispozițiile Tratatului FUE privind cooperarea polițienească și judiciară în materie penală fără ca acest act să fie obligatoriu în ceea ce îl privește.
117 Protocolul nr. 22 nu poate, așadar, să conducă în speță la reguli de vot diferite în cadrul Consiliului în cazul utilizării concomitente a articolului 16 alineatul (2) și a articolului 87 alineatul (2) litera (a) TFUE.
118 În aceste condiții, trebuie să se răspundă la a doua întrebare din prezenta cerere de aviz că decizia Consiliului privind încheierea acordului preconizat trebuie să se întemeieze concomitent pe articolul 16 alineatul (2) și pe articolul 87 alineatul (2) litera (a) TFUE.
C. Cu privire la compatibilitatea acordului preconizat cu dispozițiile Tratatului FUE și ale cartei
119 În măsura în care întrebarea privind compatibilitatea acordului preconizat cu dispozițiile Tratatului FUE și ale cartei se referă la articolul 16 TFUE, precum și la articolele 7 și 8 din cartă și în lumina aprecierilor formulate de Parlament în cererea de aviz, trebuie să se considere că această instituție solicită avizul Curții cu privire la compatibilitatea acordului preconizat cu, în special, dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal.
120 Atunci când aprecierile care urmează vor privi compatibilitatea acordului preconizat cu dreptul la protecția datelor cu caracter personal, consacrat atât la articolul 16 alineatul (1) TFUE, cât și la articolul 8 din cartă, Curtea nu va face referire decât la această din urmă dispoziție. Astfel, deși este adevărat că ambele dispoziții prevăd că orice persoană are dreptul la protecția datelor cu caracter personal care o privesc, numai articolul 8 din cartă precizează în mod specific, la alineatul (2), care sunt condițiile în care astfel de date pot face obiectul unei prelucrări.
1. Cu privire la drepturile fundamentale vizate și la ingerința în aceste drepturi
121 În conformitate cu enumerarea din cuprinsul anexei la acordul preconizat, datele PNR vizate de acesta includ printre altele, în afară de numele pasagerului sau pasagerilor aerieni, informații necesare pentru rezervare, cum sunt datele călătoriei preconizate și itinerarul de călătorie, informații privind biletul, grupurile de persoane înregistrate cu același număr de rezervare, datele de contact ale pasagerului sau pasagerilor, informațiile privind mijloacele de plată și facturarea, informații privind bagajele, precum și observații generale cu privire la pasageri.
122 Întrucât datele PNR includ, așadar, informații privind persoane fizice identificate, mai precis pasagerii aerieni care efectuează zboruri între Uniune și Canada, diferitele modalități de prelucrare a acestora potrivit acordului preconizat, precum transferul lor din Uniune către Canada, accesul la ele în vederea utilizării lor sau a păstrării lor, afectează dreptul fundamental la respectarea vieții private, garantat la articolul 7 din cartă. Astfel, acest drept se raportează la orice informație privind o persoană fizică identificată sau identificabilă (a se vedea în acest sens Hotărârea din 9 noiembrie 2010, Volker und Markus Schecke și Eifert, C‑92/09 și C‑93/09, EU:C:2010:662, punctul 52, Hotărârea din 24 noiembrie 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 și C‑469/10, EU:C:2011:777, punctul 42, precum și Hotărârea din 17 octombrie 2013, Schwarz, C‑291/12, EU:C:2013:670, punctul 26).
123 În plus, prelucrarea datelor PNR vizate de acordul preconizat se încadrează și la articolul 8 din cartă ca urmare a faptului că reprezintă o prelucrare de date cu caracter personal în sensul acestui articol și trebuie, în consecință, să îndeplinească în mod necesar cerințele de protecție a datelor prevăzute de respectivul articol (a se vedea în acest sens Hotărârea din 9 noiembrie 2010, Volker und Markus Schecke și Eifert, C‑92/09 și C‑93/09, EU:C:2010:662, punctul 49, Hotărârea din 5 mai 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, punctul 52, precum și Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții, C‑293/12 și C‑594/12, EU:C:2014:238, punctul 29).
124 Astfel cum a statuat deja Curtea, comunicarea de date cu caracter personal unui terț, precum o autoritate publică, constituie o ingerință în dreptul fundamental consacrat la articolul 7 din cartă, indiferent de utilizarea ulterioară a informațiilor comunicate. Aceeași situație se regăsește în privința păstrării datelor cu caracter personal, precum și a accesului la respectivele date în vederea utilizării lor de către autoritățile publice. În această privință, este irelevant dacă informațiile vizate referitoare la viața privată prezintă sau nu prezintă un caracter sensibil sau dacă persoanele interesate au suferit sau nu au suferit eventuale inconveniente ca urmare a acestei ingerințe (a se vedea în acest sens Hotărârea din 20 mai 2003, Österreichischer Rundfunk și alții, C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294, punctele 74 și 75, Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții, C‑293/12 și C‑594/12, EU:C:2014:238, punctele 33-35, precum și Hotărârea din 6 octombrie 2015, Schrems, C‑362/14, EU:C:2015:650, punctul 87).
125 Prin urmare, atât transferul datelor PNR din Uniune către autoritatea canadiană competentă, cât și stabilirea condițiilor, negociată de Uniune cu Canada, privind păstrarea acestor date, precum și eventualul lor transfer ulterior către alte autorități canadiene, către Europol, către Eurojust, către autoritățile judiciare și polițienești din statele membre sau către autoritățile din alte țări terțe, pe care le autorizează în special articolele 3, 4, 6, 8, 12, 15, 16, 18 și 19 din acordul preconizat, constituie ingerințe în dreptul garantat la articolul 7 din cartă.
126 Aceste operațiuni constituie de asemenea o ingerință în dreptul fundamental la protecția datelor cu caracter personal garantat de articolul 8 din cartă întrucât reprezintă o prelucrare a datelor cu caracter personal (a se vedea în acest sens Hotărârea din 17 octombrie 2013, Schwarz, C‑291/12, EU:C:2013:670, punctul 25, precum și Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții, C‑293/12 și C‑594/12, EU:C:2014:238, punctul 36).
127 În această privință este necesar să se arate, pe de o parte, că acordul preconizat permite transferul sistematic și continuu al datelor PNR ale tuturor pasagerilor aerieni care efectuează zboruri între Uniune și Canada.
128 Pe de altă parte, chiar dacă anumite date PNR, privite izolat, nu par să poată revela informații importante privind viața privată a persoanelor vizate, totuși, considerate în ansamblu, respectivele date pot revela, printre altele, un itinerar de călătorie complet, obiceiuri de călătorie, relațiile existente între două sau mai multe persoane, precum și informații privind situația financiară a pasagerilor aerieni, obiceiurile lor alimentare sau starea lor de sănătate și ar putea furniza chiar informații sensibile despre acești pasageri, precum cele definite la articolul 2 litera (e) din acordul preconizat.
129 Caracteristicile inerente regimului privind transferul și prelucrarea datelor PNR prevăzut de acordul preconizat confirmă existența ingerințelor autorizate de acest acord.
130 Datele amintite mai sus trebuie în fapt transferate, conform articolului 21 alineatul (1) din acordul preconizat, înainte de plecarea prevăzută a pasagerului aerian vizat și servesc în principal, astfel cum reiese printre altele din observațiile Consiliului, ale Comisiei și ale AEPD, precum și din cuprinsul punctului 2.1 din Comunicarea COM(2010) 492, ca „instrument de informații”.
131 În acest scop, astfel cum reiese din cuprinsul punctului 2.2 din respectiva comunicare și după cum au confirmat în special Parlamentul, Consiliul, Comisia și AEPD în răspunsurile lor la întrebările adresate de Curte, datele PNR transferate sunt, în temeiul acordului preconizat, destinate să fie analizate în mod sistematic înainte de sosirea aeronavei în Canada, prin mijloace automatizate, bazate pe modele și pe criterii prestabilite. Respectivele date pot fi verificate de asemenea în mod automat prin confruntare cu alte baze de date. Or, o asemenea prelucrare poate furniza informații suplimentare cu privire la viața privată a pasagerilor aerieni.
132 Aceste analize pot să conducă, în plus, la verificări suplimentare la frontieră ale pasagerilor aerieni identificați ca fiind susceptibili să prezinte un risc pentru securitatea publică și, dacă este cazul, pe baza acestor verificări, la adoptarea unor decizii individuale cu efecte obligatorii în privința lor. Mai mult, respectivele analize sunt efectuate fără să existe motive întemeiate pe circumstanțe individuale care să permită să se considere că persoanele vizate ar putea prezenta un risc pentru securitatea publică. În sfârșit, întrucât durata de păstrare a datelor PNR poate să ajungă, conform articolului 16 alineatul (1) din acordul preconizat, până la cinci ani, acest acord permite ca informațiile privind viața privată a pasagerilor aerieni să fie disponibile o perioadă deosebit de lungă.
2. Cu privire la justificarea ingerințelor care rezultă din acordul preconizat
133 Articolul 7 din cartă garantează oricărei persoane dreptul la respectarea vieții private și de familie, a domiciliului și a secretului comunicațiilor. În plus, articolul 8 alineatul (1) din cartă conferă explicit oricărei persoane dreptul la protecția datelor cu caracter personal care o privesc.
134 Acest drept la protecția datelor cu caracter personal impune printre altele să se asigure continuitatea nivelului ridicat al protecției libertăților și drepturilor fundamentale conferit de dreptul Uniunii în cazul transferului de date cu caracter personal din Uniune către o țară terță. Chiar dacă mijloacele pentru a garanta un astfel de nivel de protecție pot fi diferite de cele puse în aplicare în cadrul Uniunii pentru a garanta respectarea cerințelor care decurg din dreptul Uniunii, aceste mijloace trebuie totuși să se dovedească în practică efective în scopul de a asigura o protecție în esență echivalentă cu cea garantată în cadrul Uniunii (a se vedea prin analogie Hotărârea din 6 octombrie 2015, Schrems, C‑362/14, EU:C:2015:650, punctele 72-74).
135 În acest context, trebuie arătat totodată că, astfel cum se arată la al patrulea paragraf din preambulul cartei, este necesară „consolidarea protecției drepturilor fundamentale […] în spiritul evoluției societății, a progresului social și a dezvoltărilor științifice și tehnologice”.
136 Cu toate acestea, drepturile consacrate la articolele 7 și 8 din cartă nu sunt prerogative absolute, ci trebuie să fie luate în considerare în raport cu funcția lor în societate (a se vedea în acest sens Hotărârea din 12 iunie 2003, Schmidberger, C‑112/00, EU:C:2003:333, punctul 80, Hotărârea din 9 noiembrie 2010, Volker und Markus Schecke și Eifert, C‑92/09 și C‑93/09, EU:C:2010:662, punctul 48, precum și Hotărârea din 17 octombrie 2013, Schwarz, C‑291/12, EU:C:2013:670, punctul 33).
137 În această privință, trebuie arătat totodată că, potrivit articolului 8 alineatul (2) din cartă, datele cu caracter personal trebuie printre altele să fie prelucrate „în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege”.
138 În plus, conform articolului 52 alineatul (1) prima teză din cartă, orice restrângere a exercițiului drepturilor și libertăților recunoscute de aceasta trebuie să fie prevăzută de lege și să respecte substanța lor. Potrivit articolului 52 alineatul (1) a doua teză din cartă, prin respectarea principiului proporționalității, pot fi impuse restrângeri privind aceste drepturi și libertăți numai în cazul în care acestea sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți.
139 Trebuie adăugat că cerința potrivit căreia orice restrângere a exercitării drepturilor fundamentale trebuie să fie prevăzută de lege presupune ca temeiul juridic care permite ingerința în aceste drepturi să definească el însuși întinderea restrângerii exercitării dreptului vizat (a se vedea în acest sens Hotărârea din 17 decembrie 2015, WebMindLicenses, C‑419/14, EU:C:2015:832, punctul 81).
140 În ceea ce privește respectarea principiului proporționalității, protecția dreptului fundamental la respectarea vieții private la nivelul Uniunii impune, conform jurisprudenței constante a Curții, ca derogările de la protecția datelor cu caracter personal și limitările acesteia să fie efectuate în limitele strictului necesar (Hotărârea din 16 decembrie 2008, Satakunnan Markkinapörssi și Satamedia, C‑73/07, EU:C:2008:727, punctul 56, Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții, C‑293/12 și C‑594/12, EU:C:2014:238, punctele 51 și 52, Hotărârea din 6 octombrie 2015, Schrems, C‑362/14, EU:C:2015:650, punctul 92, precum și Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctele 96 și 103).
141 Pentru a îndeplini această cerință, reglementarea în cauză care presupune o ingerință trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date au fost transferate să dispună de garanții suficiente care să permită protejarea în mod eficient a datelor lor cu caracter personal împotriva riscurilor de abuz. Această reglementare trebuie în special să indice în ce împrejurări și în ce condiții o măsură care prevede prelucrarea unor asemenea date poate fi luată, garantând în acest mod că o ingerință este limitată la strictul necesar. Necesitatea de a dispune de astfel de garanții este cu atât mai importantă atunci când datele cu caracter personal sunt supuse unei prelucrări automatizate. Aceste considerații sunt aplicabile în special când este în discuție protecția categoriei speciale de date cu caracter personal pe care o reprezintă datele sensibile (a se vedea în acest sens Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții, C‑293/12 și C‑594/12, EU:C:2014:238, punctele 54 și 55, precum și Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctele 109 și 117; a se vedea în acest sens Curtea Europeană a Drepturilor Omului, Hotărârea din 4 decembrie 2008, S. și Marper împotriva Regatului Unit, CE:ECHR:2008:1204JUD003056204, § 103).
a) Cu privire la prelucrarea datelor PNR vizată de acordul preconizat
142 În ceea ce privește problema dacă transferul de date PNR către Canada și prelucrarea ulterioară a acestora se întemeiază pe „consimțământul” pasagerilor aerieni sau pe „alt motiv legitim prevăzut de lege”, în sensul articolului 8 alineatul (2) din cartă, trebuie arătat că astfel de prelucrări ale datelor PNR urmăresc o finalitate diferită de cea pentru care aceste date sunt colectate de transportatorii aerieni.
143 Prin urmare, nu se poate considera că aceste prelucrări se întemeiază pe consimțământul dat de pasagerii aerieni pentru colectarea datelor respective de către transportatorii aerieni în vederea rezervării, astfel încât ele necesită, ca atare, fie un consimțământul specific al pasagerilor aerieni, fie un alt motiv legitim prevăzut de lege.
144 Din moment ce nicio dispoziție din acordul preconizat nu condiționează transferul către Canada al datelor PNR și nici prelucrările ulterioare ale acestora de consimțământul pasagerilor aerieni vizați, trebuie să se verifice dacă acest acord constituie un alt motiv legitim prevăzut de lege, în sensul articolului 8 alineatul (2) din cartă.
145 În această privință, este necesar să se arate că argumentul Parlamentului potrivit căruia acordul preconizat nu se încadrează în noțiunea „lege”, în sensul articolului 8 alineatul (2) din cartă și, prin urmare, al articolului 52 alineatul (1) din aceasta, întrucât nu ar constitui un „act legislativ” nu poate fi primit în niciun caz.
146 Astfel, pe de o parte, articolul 218 alineatul (6) TFUE reflectă, pe plan extern, repartizarea competențelor între instituții aplicabilă pe plan intern și stabilește o simetrie între procedura de adoptare a măsurilor Uniunii pe plan intern și procedura de adoptare a acordurilor internaționale, în scopul de a garanta că, în raport cu un anumit domeniu, Parlamentul și Consiliul dispun de aceleași competențe, cu respectarea echilibrului instituțional prevăzut de tratate (Hotărârea din 24 iunie 2014, Parlamentul/Consiliul, C‑658/11, EU:C:2014:2025, punctul 56). Prin urmare, încheierea acordurilor internaționale în domenii în care, pe plan intern, se aplică procedura legislativă ordinară, prevăzută la articolul 294 TFUE, necesită, în temeiul articolului 218 alineatul (6) litera (a) punctul (v) TFUE, aprobarea Parlamentului, astfel încât, după cum a arătat avocatul general la punctul 192 din concluzii, un asemenea acord poate fi considerat, pe plan extern, echivalentul a ceea ce este pe plan intern un act legislativ. Pe de altă parte, nu s‑a susținut nicidecum în prezenta procedură că este posibil ca acordul preconizat să nu îndeplinească cerințele de accesibilitate și de previzibilitate necesare pentru ca ingerințele pe care le presupune să poată fi considerate ca fiind prevăzute de lege în sensul articolului 8 alineatul (2) și al articolului 52 alineatul (1) din cartă.
147 Rezultă că transferul datelor PNR către Canada se întemeiază pe „un alt motiv” care este „prevăzut de lege” în sensul articolului 8 alineatul (2) din cartă. Cât privește aspectul dacă acest motiv este legitim în sensul acestei din urmă dispoziții, această problemă se confundă în speță cu cea privind caracterul de interes general al obiectivului urmărit de acordul preconizat, care va fi examinată la punctul 148 și următoarele din prezentul aviz.
b) Cu privire la obiectivul de interes general și la respectarea substanței drepturilor fundamentale în cauză
148 După cum s‑a constatat la punctul 82 din prezentul aviz, acordul preconizat vizează în special să garanteze securitatea publică prin intermediul unui transfer de date PNR către Canada și al utilizării acestora în cadrul combaterii infracțiunilor de terorism și a altor infracțiuni transnaționale grave.
149 Acest obiectiv constituie, astfel cum reiese din jurisprudența Curții, un obiectiv de interes general al Uniunii care poate justifica ingerințe, chiar grave, în drepturile fundamentale consacrate la articolele 7 și 8 din cartă. De altfel, protecția securității publice contribuie de asemenea la protecția drepturilor și a libertăților celorlalți. În această privință, articolul 6 din cartă prevede dreptul oricărei persoane nu doar la libertate, ci și la siguranță (a se vedea în acest sens Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții, C‑293/12 și C‑594/12, EU:C:2014:238, punctele 42 și 44, precum și Hotărârea din 15 februarie 2016, N., C‑601/15 PPU, EU:C:2016:84, punctul 53).
150 În ceea ce privește substanța dreptului fundamental la respectarea vieții private, consacrat la articolul 7 din cartă, chiar dacă datele PNR pot să reveleze, dacă este cazul, informații foarte prețioase cu privire la viața privată a unei persoane, natura acestor informații este limitată la anumite aspecte ale acestei vieți private, referitoare în special la călătoriile pe calea aerului între Canada și Uniune. Cât privește substanța dreptului la protecția datelor cu caracter personal, consacrat la articolul 8 din cartă, acordul preconizat stabilește concret, la articolul 3, finalitățile prelucrării datelor PNR și prevede, la articolul 9, norme destinate să asigure, printre altele, securitatea, confidențialitatea și integritatea acestor date, precum și să le protejeze împotriva accesului și a prelucrărilor nelegale.
151 În aceste condiții, ingerințele pe care le presupune acordul preconizat pot fi justificate printr‑un obiectiv de interes general al Uniunii și nu sunt de natură să aducă atingere substanței drepturilor fundamentale consacrate la articolele 7 și 8 din cartă.
c) Cu privire la caracterul adecvat al prelucrării datelor PNR vizate de acordul preconizat în raport cu obiectivul de asigurare a securității publice
152 În ceea ce privește problema dacă transferul datelor PNR către Canada și prelucrarea lor ulterioară în această țară terță sunt apte să asigure securitatea publică, rezultă din cuprinsul punctului 2.2 din Comunicarea COM(2010) 492 că evaluarea riscurilor pe care le prezintă pasagerii aerieni prin intermediul analizării acestor date înainte de sosirea lor „facilitează și accelerează în mare măsură verificările de securitate și de control la frontieră”. În plus, Comisia a subliniat în observațiile scrise că, potrivit informațiilor furnizate de ASFC, prelucrarea datelor PNR a permis, printre alte rezultate, arestarea a 178 de persoane dintre cei 28 de milioane de călători care au efectuat un zbor între Uniune și Canada în perioada aprilie 2014-martie 2015.
153 În aceste condiții, se poate considera că transferul datelor PNR către Canada și prelucrările lor ulterioare sunt apte să garanteze realizarea obiectivului privind protecția securității și a siguranței publice urmărit de acordul preconizat.
d) Cu privire la caracterul necesar al ingerințelor pe care le presupune acordul preconizat
154 În ceea ce privește caracterul necesar al ingerințelor pe care le presupune acordul preconizat, trebuie verificat, conform jurisprudenței citate la punctele 140 și 141 din prezentul aviz, dacă ele se limitează la strictul necesar și, în acest cadru, dacă acest acord enunță norme clare și precise care reglementează conținutul și aplicarea măsurilor pe care le prevede.
1) Cu privire la datele PNR vizate de acordul preconizat
i) Cu privire la caracterul suficient de precis al acordului preconizat în privința datelor PNR care trebuie transferate
155 În ceea ce privește datele vizate de acordul preconizat, acest acord ar trebui să definească în mod clar și precis datele PNR pe care transportatorii aerieni sunt chemați să le transfere către Canada în aplicarea respectivului acord.
156 În această privință, deși cele 19 rubrici privind datele PNR care figurează în anexa la acordul preconizat corespund, potrivit observațiilor Comisiei, cu anexa I din Orientările Organizației Aviației Civile Internaționale (OACI) privind datele PNR, trebuie subliniat însă, astfel cum a arătat avocatul general la punctul 217 din concluzii, că rubrica 5, referitoare la „informații disponibile privind programele de fidelitate și avantajele oferite (de exemplu, bilete gratuite, transferul la o clasă superioară etc.)”, și rubrica 7, care acoperă „toate informațiile disponibile privind datele de contact (inclusiv cele referitoare la sursa informației)”, nu definesc suficient de clar și de precis datele PNR care trebuie transferate.
157 Astfel, în ceea ce privește rubrica 5, folosirea termenului „etc.” nu stabilește în mod suficient întinderea datelor care trebuie transferate. În plus, formularea acestei rubrici nu permite să se cunoască dacă ea vizează informații care privesc numai statutul pasagerilor aerieni în programele de fidelitate sau dacă, dimpotrivă, vizează toate informațiile privind călătorii aerieni și tranzacțiile efectuate în cadrul unor astfel de programe.
158 Similar, rubrica 7, folosind expresia „toate informațiile disponibile privind datele de contact”, nu stabilește în mod suficient întinderea datelor care trebuie transferate. În special, ea nu precizează care este tipul de date de contact pe care le vizează și nici dacă aceste date de contact acoperă de asemenea, astfel cum se poate deduce din răspunsul scris al Comisiei la întrebările adresate de Curte, datele de contact ale terților care au efectuat rezervarea zborului pentru pasagerul aerian, ale terților prin intermediul cărora pasagerul aerian poate fi contactat sau ale terților care trebuie informați în caz de urgență.
159 În ceea ce privește rubrica 8, aceasta privește „toate informațiile disponibile privind plata/facturarea biletului (fără a include alte detalii ale tranzacției, referitoare la cartea de credit sau la contul bancar, care nu au legătură cu tranzacția efectuată în vederea călătoriei)”. Desigur, această rubrică ar putea părea deosebit de largă întrucât folosește expresia „toate informațiile disponibile”. Cu toate acestea, după cum rezultă din răspunsul Comisiei la întrebările adresate de Curte, trebuie să se considere că respectiva rubrică nu vizează decât informațiile privind modalitățile de plată și facturarea biletului de avion, fiind exclusă orice altă informație care nu are o legătură directă cu zborul. Dacă este interpretată în acest sens, se poate considera, așadar, că aceeași rubrică îndeplinește cerințele de claritate și de precizie.
160 În ceea ce privește rubrica 17, aceasta vizează „observații generale, inclusiv alte informații suplimentare (Other Supplementary Information – OSI), informații privind serviciile speciale (Special Service Information – SSI) și informații privind cereri ale serviciilor speciale (Special Service Request – SSR)”. Potrivit explicațiilor date în special de Comisie, această rubrică constituie o rubrică denumită „text liber” (free text), care poate include „toate informațiile suplimentare”, în plus față de cele enumerate de altfel în anexa la acordul preconizat. Astfel, o asemenea rubrică nu furnizează nicio indicație privind natura și întinderea informațiilor care trebuie transmise și pare susceptibilă chiar să înglobeze informații fără nicio legătură cu finalitatea transferului datelor PNR. În plus, din moment ce informațiile vizate în respectiva rubrică nu sunt furnizate decât cu titlu exemplificativ, după cum o dovedește utilizarea termenului „inclusiv”, această rubrică nu stabilește nicio limită în privința naturii și a întinderii informațiilor care pot să figureze în cuprinsul său. În aceste condiții, nu se poate considera că rubrica 17 este delimitată cu suficientă claritate și precizie.
161 În ceea ce privește, în sfârșit, rubrica 18, aceasta privește „orice informații prealabile referitoare la pasageri (Advance Passenger Information – API) colectate în scopul rezervării”. Potrivit precizărilor făcute de Consiliu și de Comisie, aceste informații corespund informațiilor vizate la articolul 3 alineatul (2) din Directiva 2004/82, și anume numărul și tipul documentului de călătorie utilizat, cetățenia, numele complet, data nașterii, punctul de trecere a frontierei utilizat pentru a intra pe teritoriul statelor membre, codul transportului, ora de plecare și ora de sosire a transportului, numărul total de persoane transportate, precum și punctul inițial de îmbarcare. Se poate considera că această rubrică, în măsura în care este interpretată în sensul că acoperă doar informațiile expres vizate la această din urmă dispoziție, îndeplinește cerințele de claritate și de precizie.
162 Dispozițiile articolului 4 alineatul (3) din acordul preconizat, care prevăd obligația Canadei de a șterge orice date PNR care i‑au fost transferate în cazul în care ele nu sunt prevăzute în lista din anexa la acest acord, nu permit să se înlăture impreciziile care afectează rubricile 5, 7 și 17 din această anexă. Astfel, întrucât această listă nu delimitează, ca atare, cu suficientă claritate și precizie datele PNR care trebuie transferate, aceste dispoziții nu sunt de natură să elimine incertitudinea în privința datelor PNR care trebuie să facă obiectul transferului.
163 În aceste condiții, în ceea ce privește datele PNR care trebuie transferate către Canada, rubricile 5, 7 și 17 din anexa la acordul preconizat nu stabilesc suficient de clar și de precis limitele ingerinței în drepturile fundamentale consacrate la articolele 7 și 8 din cartă.
ii) Cu privire la datele sensibile
164 În ceea ce privește transferul datelor sensibile în sensul articolului 2 litera (e) din acordul preconizat, această dispoziție le definește ca fiind toate informațiile care dezvăluie „originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală” sau informațiile cu privire la „starea de sănătate a unei persoane sau la viața sexuală a acesteia”. Deși niciuna dintre cele 19 rubrici din anexa la acest acord nu vizează explicit date de această natură, ele ar putea totuși să se încadreze în rubrica 17, astfel cum a confirmat în special Comisia în răspunsul la întrebările adresate de Curte. În plus, faptul că articolele 8 și 16 din acordul preconizat prevăd norme specifice referitoare la utilizarea și la păstrarea datelor sensibile înseamnă în mod necesar că părțile la același acord au admis posibilitatea ca asemenea date să poată fi transferate către Canada.
165 În această privință trebuie arătat că orice măsură întemeiată pe postulatul că una sau mai multe caracteristici care figurează la articolul 2 litera (e) din acordul preconizat ar putea, prin ele înseși și independent de comportamentul individual al călătorului vizat, să fie relevante din perspectiva finalității prelucrării datelor PNR, și anume combaterea terorismului și a altor infracțiuni transnaționale grave, ar încălca drepturile garantate la articolele 7 și 8 din cartă coroborate cu articolul 21 din aceasta. Având în vedere riscul unei prelucrări a datelor contrare articolului 21 din cartă, un transfer al datelor sensibile către Canada ar necesita o justificare precisă și deosebit de solidă, întemeiată pe alte motive decât protecția securității publice împotriva terorismului și a altor infracțiuni transnaționale grave. Or, în speță, o asemenea justificare lipsește.
166 În plus, este necesar să se arate că legiuitorul Uniunii a exclus prelucrarea datelor sensibile la articolul 6 alineatul (4), la articolul 7 alineatul (6) și la articolul 13 alineatul (4) din Directiva (UE) 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave (JO 2016, L 119, p. 132).
167 Având în vedere aprecierile de la cele două puncte precedente, trebuie constatat că articolele 7, 8 și 21, precum și articolul 52 alineatul (1) din cartă se opun atât transferului de date sensibile către Canada, cât și stabilirii condițiilor, negociată de Uniune cu această țară terță, privind utilizarea și păstrarea unor astfel de date de către autoritățile acestei țări terțe.
2) Cu privire la prelucrarea automată a datelor PNR
168 Astfel cum reiese din cuprinsul punctelor 130-132 din prezentul aviz și după cum a arătat avocatul general la punctul 252 din concluzii, datele PNR transferate către Canada sunt destinate în principal să fie supuse unor analize prin mijloace automatizate, bazate pe modele și pe criterii prestabilite și pe confruntarea cu diverse baze de date.
169 Or, evaluarea riscului pe care îl reprezintă pasagerii pentru securitatea publică se efectuează, așa cum rezultă din cuprinsul punctelor 130 și 131 din prezentul aviz, prin mijloace de analiză automatizate a datelor PNR anterior sosirii pasagerilor aerieni în Canada. În măsura în care aceste analize se efectuează pornind de la date cu caracter personal neverificate și în măsura în care se bazează pe modele și pe criterii prestabilite, ele prezintă în mod necesar o anumită marjă de eroare, astfel cum au admis, printre alții, guvernul francez și Comisia în ședință.
170 După cum rezultă din cuprinsul punctului 30 din Avizul AEPD referitor la propunerea de decizie‑cadru a Consiliului privind utilizarea datelor din registrul cu numele pasagerilor (PNR) în scopul aplicării legii (JO 2008, C 110, p. 1), la care AEPD s‑a referit în răspunsul său la întrebările adresate de Curte, această marjă de eroare pare semnificativă.
171 Desigur, în ceea ce privește consecințele prelucrării automate a datelor PNR, conform articolului 15 din acordul preconizat, Canada se abține să adopte „decizii care au urmări negative semnificative asupra unui pasager exclusiv pe baza prelucrării automate a datelor PNR”. De asemenea, articolul 3 din acest acord, care stabilește finalitățile oricărei prelucrări a acestor date de către autoritatea canadiană competentă, și articolul 7 din acordul respectiv, care conține o clauză de nediscriminare, se aplică acestui tip de prelucrare.
172 În aceste condiții, întinderea ingerinței pe care o implică analiza automatizată a datelor PNR în drepturile consacrate la articolele 7 și 8 din cartă depinde în principal de modelele și de criteriile prestabilite, precum și de bazele de date pe care se întemeiază acest tip de prelucrare a datelor. Astfel, având în vedere și considerațiile de la punctele 169 și 170 din prezentul aviz, modelele și criteriile prestabilite ar trebui, pe de o parte, să fie specifice și fiabile, pentru a permite să se ajungă, după cum a arătat avocatul general la punctul 256 din concluzii, la rezultate care vizează indivizi cu privire la care ar putea exista o bănuială rezonabilă de participare la infracțiuni de terorism sau la infracțiuni transnaționale grave, și, pe de altă parte, să fie nediscriminatorii. Totodată, ar trebui precizat că bazele de date cu care sunt confruntate datele PNR trebuie să fie fiabile, actuale și limitate la baze de date exploatate de Canada în raport cu combaterea terorismului și a altor infracțiuni transnaționale grave.
173 În plus, în măsura în care analiza automatizată a datelor PNR implică în mod necesar, după cum s‑a constatat la punctul 169 din prezentul aviz, o anumită marjă de eroare, orice rezultat pozitiv obținut în urma prelucrării automate a respectivelor date trebuie să fie supus, în temeiul articolului 15 din acordul preconizat, unei reexaminări individuale prin mijloace neautomatizate înainte de adoptarea unei măsuri individuale care să aibă urmări negative în privința pasagerilor aerieni vizați. Astfel, o asemenea măsură nu poate, în temeiul articolului 15 amintit, să se întemeieze în mod decisiv numai pe rezultatul unei prelucrări automate a datelor PNR.
174 În sfârșit, pentru a garanta în practică că modelele și criteriile prestabilite, utilizarea dată acestora, precum și bazele de date utilizate nu prezintă un caracter discriminatoriu și sunt limitate la strictul necesar, fiabilitatea și actualitatea acestor modele și a acestor criterii prestabilite, precum și a bazelor de date utilizate ar trebui să facă obiectul unei examinări comune a punerii în aplicare a acordului preconizat, prevăzută la articolul 26 alineatul (2) din acesta, ținând seama de datele statistice și de rezultatele cercetărilor internaționale.
3) Cu privire la finalitățile prelucrării datelor PNR
i) Prevenirea, detectarea și urmărirea infracțiunilor de terorism sau a infracțiunilor transnaționale grave
175 Articolul 3 alineatul (1) din acordul preconizat prevede că datele PNR pot fi prelucrate de autoritatea canadiană exclusiv în scopul prevenirii, al detectării, al cercetării sau al urmăririi penale a infracțiunilor de terorism sau a infracțiunilor transnaționale grave.
176 În ceea ce privește noțiunea „infracțiuni de terorism”, articolul 3 alineatul (2) din acest acord definește în mod clar și precis atât activitățile vizate de această expresie, cât și persoanele, grupurile și organizațiile care pot fi considerate o „entitate teroristă”.
177 De asemenea, în ceea ce privește noțiunea „infracțiune transnațională gravă”, articolul 3 alineatul (3) primul paragraf din acordul preconizat definește cu claritate și cu precizie nivelul de gravitate al infracțiunilor vizate, impunând ca acestea să fie sancționate cu o pedeapsă privativă de libertate de cel puțin patru ani sau cu o pedeapsă mai severă. În plus, în ceea ce privește natura respectivelor infracțiuni, această dispoziție trebuie să fie considerată suficient de precisă în măsura în care face trimitere la infracțiunile definite de dreptul canadian. În sfârșit, articolul 3 alineatul (3) al doilea paragraf din acest acord enunță în mod clar și precis diferitele ipoteze în care o infracțiune este considerată ca fiind de natură transnațională.
178 În aceste condiții, articolul 3 alineatele (1)-(3) din acordul preconizat conține norme clare, precise și limitate la strictul necesar.
ii) Alte finalități
179 Articolul 3 alineatul (4) din acordul preconizat permite, în cazuri excepționale, autorității canadiene competente să prelucreze date PNR atunci când acest lucru este necesar pentru a proteja interesele vitale ale oricărei persoane, cum ar fi în cazul unui risc de deces sau de rănire gravă sau al unui risc important la adresa sănătății publice, în special conform cerințelor standardelor recunoscute la nivel internațional. Articolul 3 alineatul (5) literele (a) și (b) din acest acord autorizează, în plus, Canada să prelucreze date PNR „de la caz la caz” pentru „a asigura supravegherea sau tragerea la răspundere a administrației publice” și, respectiv, pentru „a se conforma dispozițiilor unei citații sau ale unui mandat sau ale unui ordin emis de o instanță”.
180 Din moment ce articolul 3 alineatul (4) din acordul preconizat limitează la protecția intereselor vitale ale persoanelor cazurile în care autoritatea canadiană competentă poate, în scopuri diferite de cele inerente acordului preconizat, care țin de combaterea terorismului și a infracțiunilor transnaționale grave, să utilizeze datele PNR colectate în virtutea acestui acord, această dispoziție definește în mod clar și precis cazurile în care este admisibilă o asemenea utilizare. Pe de altă parte, în măsura în care dispoziția menționată prevede că autoritatea canadiană competentă nu este autorizată decât în mod excepțional să procedeze astfel, este necesar să se considere că aceeași dispoziție conține norme care sunt limitate la strictul necesar.
181 În schimb, formularea cazurilor în care Canada poate prelucra datele PNR, în temeiul articolului 3 alineatul (5) literele (a) și (b) din acordul preconizat, este prea vagă și generală pentru a îndeplini cerințele de claritate și de precizie impuse. Normele cuprinse în această dispoziție nu sunt, așadar, limitate la strictul necesar pentru atingerea obiectivului urmărit prin respectivul acord.
4) Cu privire la autoritățile canadiene vizate de acordul preconizat
182 Conform articolului 2 litera (d) din acordul preconizat, autoritatea canadiană competentă este responsabilă cu primirea și prelucrarea de date PNR în temeiul acestui acord. Potrivit articolului 5 din acord, se consideră că această autoritate asigură un nivel adecvat de protecție, în sensul dreptului Uniunii, în ceea ce privește prelucrarea și utilizarea datelor PNR. În plus, astfel cum reiese din cel de al cincisprezecelea paragraf din preambulul respectivului acord, Canada își ia angajamentul ca autoritatea menționată să se conformeze garanțiilor enunțate în același acord în materia respectării vieții private și a protecției datelor cu caracter personal.
183 Deși identitatea autorității canadiene competente nu este indicată ca atare în acordul preconizat, articolul 30 alineatul (2) litera (a) din acesta stabilește obligația Canadei de a notifica această identitate Comisiei înainte de intrarea în vigoare a acordului. Astfel, acesta din urmă este suficient de clar și de precis în privința identității autorității canadiene competente.
184 În plus, trebuie, în mod cert, să se arate că articolul 18 alineatul (1) din respectivul acord nu precizează care este identitatea celorlalte „autorități guvernamentale din Canada” cărora autoritatea canadiană competentă este autorizată, în condițiile prevăzute de această dispoziție, să le divulge datele PNR. Cu toate acestea, reiese cu claritate din articolul 18 alineatul (1) literele (a), (c) și (e) din acordul preconizat că datele PNR nu pot fi comunicate decât autorităților „ale căror funcții au o legătură directă cu domeniul de aplicare al articolului 3”, atunci când „divulgarea este necesară în scopurile menționate la articolul 3” și sub rezerva ca aceste autorități să ofere „o protecție echivalentă cu garanțiile prevăzute în prezentul acord”.
185 În măsura în care mai multe dispoziții din acordul preconizat, și anume articolul 3 alineatul (5), articolul 6 alineatele (1) și (2), articolul 8 alineatele (3)-(5), articolul 12 alineatul (3), articolul 16 și articolul 17 din acest acord, desemnează „Canada” ca fiind entitatea responsabilă cu prelucrarea datelor PNR vizate de aceste dispoziții, acordul respectiv trebuie înțeles în sensul că desemnează fie autoritatea canadiană competentă, fie pe cele vizate la articolul 18 din acesta. Interpretate în acest sens, articolul 3 alineatul (5), articolul 6 alineatele (1) și (2), articolul 8 alineatele (3)-(5), articolul 12 alineatul (3), articolul 16 și articolul 17 din acordul preconizat pot fi considerate ca îndeplinind cerințele de claritate și de precizie.
5) Cu privire la pasagerii aerieni vizați
186 Acordul preconizat acoperă datele PNR ale tuturor pasagerilor care efectuează zboruri între Uniune și Canada. Transferul acestor date spre Canada are loc independent de orice element obiectiv care permite să se considere că pasagerii pot să prezinte un risc pentru securitatea publică în Canada.
187 În această privință trebuie arătat că, după cum s‑a amintit la punctele 152 și 169 din prezentul aviz, datele PNR sunt destinate în special să fie supuse unei prelucrări automate. Or, după cum au susținut mai mulți intervenienți, această prelucrare vizează identificarea riscului pentru securitatea publică pe care l‑ar putea eventual prezenta persoane care, la acest stadiu, nu sunt cunoscute de serviciile competente și care ar putea fi supuse unei examinări amănunțite din cauza acestui risc. În această privință, prelucrarea automată a acestor date, anterior sosirii pasagerilor în Canada, facilitează și accelerează controalele de securitate, în special la frontieră. În plus, excluderea anumitor categorii de persoane sau a anumitor zone de origine ar fi de natură să împiedice realizarea obiectivului prelucrării automate a datelor PNR, și anume identificarea prin intermediul verificării acestor date a persoanelor care pot prezenta un risc pentru securitatea publică din rândul tuturor pasagerilor aerieni, și să permită ca această verificare să fie evitată.
188 De altfel, conform articolului 13 din Convenția de la Chicago, la care s‑au referit în special Consiliul și Comisia în răspunsurile lor la întrebările adresate de Curte, toți pasagerii aerieni trebuie să respecte, la intrare, la ieșire, precum și în limitele teritoriului unui stat contractant, legile și regulamentele acestui stat contractant privind intrarea sau ieșirea pasagerilor aerieni de pe teritoriul său. Toți pasagerii aerieni care doresc să intre în Canada sau să iasă din această țară sunt supuși, așadar, în temeiul acestui articol, la controale la frontieră și sunt obligați să respecte condițiile de intrare și de ieșire prevăzute de legislația canadiană în vigoare. În plus, astfel cum reiese din cuprinsul punctelor 152 și 187 din prezentul aviz, identificarea, prin intermediul datelor PNR, a pasagerilor care pot prezenta un risc pentru securitatea publică face parte din controalele la frontieră. În consecință, din moment ce fac obiectul acestor controale, pasagerii aerieni care intenționează să facă uz de dreptul de intrare și de ședere în Canada sunt supuși, prin însăși natura acestei măsuri, verificării datelor lor PNR.
189 În aceste condiții, nu rezultă că acordul preconizat depășește limitele strictului necesar în măsura în care permite transferul datelor PNR ale tuturor pasagerilor aerieni către Canada.
6) Cu privire la păstrarea și la utilizarea datelor PNR
190 Pentru a garanta că păstrarea datelor PNR transferate, accesul la aceste date al autorităților canadiene vizate de acordul preconizat, precum și utilizarea respectivelor date de către acestea sunt limitate la strictul necesar, acordul preconizat ar trebui, conform jurisprudenței constante a Curții citate la punctul 141 din prezentul aviz, să prevadă norme clare și precise care să indice împrejurările și condițiile în care aceste autorități pot să le păstreze, să le acceseze și să le utilizeze.
191 În ceea ce privește păstrarea datelor cu caracter personal, este necesar să se arate că reglementarea în cauză trebuie, printre altele, să răspundă întotdeauna unor criterii obiective, care să stabilească un raport între datele cu caracter personal care trebuie păstrate și obiectivul urmărit (a se vedea în acest sens Hotărârea din 6 octombrie 2015, Schrems, C‑362/14, EU:C:2015:650, punctul 93, precum și Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctul 110).
192 În ceea ce privește utilizarea de către o autoritate a datelor cu caracter personal păstrate în mod legitim, trebuie amintit că Curtea a statuat deja că o reglementare a Uniunii nu se poate limita la a impune ca accesul la respectivele date să corespundă uneia dintre finalitățile acestei reglementări, ci trebuie să prevadă și condițiile materiale și procedurale care guvernează această utilizare (a se vedea prin analogie Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctele 117 și 118, precum și jurisprudența citată).
193 În speță, după cum s‑a constatat la punctul 171 din prezentul aviz, acordul preconizat stabilește, la articolul 3, finalitățile utilizării datelor PNR de către autoritatea canadiană competentă, prevede, la articolul 7, o clauză de nediscriminare și conține, la articolul 15, o dispoziție privind deciziile Canadei bazate pe prelucrarea automată a acestor date.
194 În plus, potrivit articolului 16 alineatul (1) din acordul preconizat, Canada nu păstrează datele PNR decât pentru o perioadă de cinci ani de la data la care le primește, iar potrivit articolului 16 alineatul (3) din acest acord, o parte dintre aceste date trebuie să fie mascată la 30 de zile sau la doi ani ulterior acestei date. Întrucât aceste dispoziții nu operează nicio diferențiere în funcție de pasagerii vizați, ele permit astfel păstrarea datelor PNR ale tuturor pasagerilor aerieni.
195 În sfârșit, în temeiul articolului 16 alineatul (4) din respectivul acord, datele mascate pot fi dezvăluite prin demascare în cazul în care este necesar să se efectueze investigații care se încadrează în domeniul de aplicare al articolul 3 din același acord, această demascare fiind efectuată, după caz, fie de către un număr limitat de funcționari autorizați în mod specific, fie cu autorizația prealabilă a persoanei aflate la conducerea autorității canadiene competente sau a unui înalt funcționar mandatat în mod specific de această persoană.
i) Cu privire la păstrarea și la utilizarea datelor PNR înainte de sosirea pasagerilor aerieni, în timpul șederii lor în Canada și la ieșirea lor din țară
196 Acordul preconizat permite, așadar, pe toată perioadă de păstrare, ca datele PNR ale tuturor pasagerilor aerieni să fie utilizate în scopurile vizate la articolul 3.
197 Or, în ceea ce privește păstrarea datelor PNR și utilizarea lor până la ieșirea pasagerilor aerieni din Canada, trebuie arătat că acestea permit, printre altele, facilitarea controalelor de securitate, precum și a controalelor la frontieră. Păstrarea și utilizarea lor în acest scop nu pot fi limitate, dată fiind însăși natura lor, la un anumit cerc de pasageri aerieni și nici nu pot face obiectul unei autorizări prealabile din partea unei instanțe sau a unei entități administrative independente. Prin urmare, și în conformitate cu aprecierile din cuprinsul punctelor 186-188 din prezentul aviz, este necesar să se considere că, atât timp cât pasagerii aerieni se află în Canada sau pe cale să părăsească această țară terță, există raportul necesar între aceste date și obiectivul pe care îl urmărește acordul respectiv, astfel încât acordul nu depășește limitele strictului necesar prin simplul fapt că permite păstrarea și utilizarea sistematică a datelor PNR ale tuturor acestor pasageri.
198 De asemenea, utilizarea sistematică a datelor PNR în scopul verificării fiabilității și a actualității modelelor și criteriilor prestabilite pe care se bazează prelucrarea automată a acestor date, astfel cum s‑a indicat la punctul 174 din prezentul aviz, sau al redefinirii unor noi modele și criterii pentru această prelucrare este direct legată de efectuarea controalelor vizate la punctul anterior din prezentul aviz și, prin urmare, trebuie să se considere și că nu depășește limitele strictului necesar.
199 În plus, este important să se arate că, în timpul șederii pasagerilor aerieni în Canada și indiferent de rezultatul analizei automatizate a datelor PNR efectuate înainte de sosirea lor în această țară terță, pot apărea situații în care autoritatea canadiană competentă să dispună de indicii, strânse pe parcursul acestei șederi, că utilizarea datelor acestora s‑ar putea dovedi necesară în vederea combaterii terorismului și a infracțiunilor transnaționale grave.
200 În ceea ce privește însă utilizarea datelor PNR în situațiile vizate la punctul anterior, trebuie arătat că, din moment ce, după verificarea datelor lor PNR, s‑a permis pasagerilor aerieni să intre pe teritoriul acestei țări terțe, o utilizare a respectivelor date în timpul șederii lor în Canada trebuie să se bazeze pe împrejurări noi care justifică această utilizare. Respectiva utilizare necesită, așadar, conform jurisprudenței citate la punctele 141 și 192 din prezentul aviz, norme care prevăd condițiile materiale și procedurale care guvernează aceeași utilizare pentru a proteja, printre altele, aceste date de riscul de abuz. Astfel de norme trebuie să se întemeieze pe criterii obiective pentru a defini împrejurările și condițiile în care autoritățile canadiene vizate de acordul preconizat sunt autorizate să le utilizeze.
201 În această privință, atunci când există elemente obiective care permit să se considere că datele PNR ale unuia sau mai multor pasageri aerieni ar putea aduce o contribuție efectivă la obiectivul de combatere a infracțiunilor de terorism și a altor infracțiuni transnaționale grave, utilizarea acestor date nu depășește limitele strictului necesar (a se vedea prin analogie Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctul 119, precum și jurisprudența citată).
202 În plus, în scopul de a garanta, în practică, deplina respectare a condițiilor enunțate la cele două puncte anterioare, este esențial ca utilizarea în timpul șederii pasagerilor aerieni în Canada a datelor lor PNR păstrate să fie, în principiu, cu excepția unor situații de urgență justificate corespunzător, condiționată de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă și ca decizia acestei instanțe sau a acestei entități să intervină în urma unei cereri motivate formulate de autoritățile competente, în special în cadrul unor proceduri de prevenire, de detectare sau de urmărire penală (a se vedea prin analogie Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctul 120, precum și jurisprudența citată).
203 Întrucât acordul preconizat nu corespunde cerințelor din cuprinsul celor două puncte de mai sus, acest acord nu garantează că utilizarea de către autoritățile canadiene vizate de respectivul acord a datelor PNR ale pasagerilor aerieni în timpul șederii lor în Canada va fi limitată la strictul necesar.
ii) Cu privire la păstrarea și la utilizarea datelor PNR după plecarea pasagerilor aerieni din Canada
204 Pasagerii aerieni care au părăsit Canada au fost supuși, de regulă, unor controale la intrarea și la ieșirea din această țară. De asemenea, datele lor PNR au fost verificate înainte de sosirea lor în Canada și, eventual, în timpul șederii lor, precum și la ieșirea din această țară terță. În aceste condiții, trebuie să se considere că acești pasageri aerieni nu prezintă, în principiu, un risc în materie de terorism sau de alte infracțiuni transnaționale grave, în măsura în care nici aceste controale și aceste verificări și nicio altă împrejurarea nu au revelat existența unor elemente obiective în acest sens. În orice ipoteză, nu rezultă că toți pasagerii aerieni care au călătorit în Canada ar prezenta, după plecarea lor din această țară, un risc mai ridicat decât alte persoane care nu au călătorit în respectiva țară în ultimii cinci ani și în privința cărora Canada nu dispune, așadar, de datele PNR.
205 Astfel, în ceea ce privește pasagerii aerieni pentru care nu a fost identificat un astfel de risc la sosirea lor în Canada și până la plecarea din această țară terță, nu rezultă că există, după plecarea lor, vreun raport, nici chiar indirect, între datele lor PNR și obiectivul urmărit de acordul preconizat, care ar justifica păstrarea acestor date. Considerațiile prezentate în special de Consiliu și de Comisie în fața Curții, întemeiate pe durata medie de existență a rețelelor internaționale de criminalitate gravă, precum și pe durata și complexitatea anchetelor privind aceste rețele, nu sunt de natură să justifice o stocare continuă a datelor PNR ale tuturor pasagerilor aerieni după plecarea lor din Canada în vederea unui eventual acces la aceste date, independent de vreo legătură cu combaterea terorismului și a altor infracțiuni transnaționale grave (a se vedea prin analogie Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctul 119).
206 Stocarea continuă a datelor PNR ale tuturor pasagerilor aerieni după plecarea lor din Canada nu este, așadar, limitată la strictul necesar.
207 În măsura în care însă sunt identificate în cazuri particulare elemente obiective care permit să se considere că anumiți pasageri aerieni ar putea să prezinte, chiar și după plecarea lor din Canada, un risc în termeni de combatere a terorismului și a altor infracțiuni transnaționale grave, stocarea datelor lor PNR apare ca admisibilă și după șederea în Canada (a se vedea prin analogie Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctul 108).
208 În ceea ce privește utilizarea datelor PNR astfel stocate, aceasta ar trebui să se întemeieze, conform jurisprudenței citate la punctele 201 și 202 din prezentul aviz, pe criterii obiective pentru a defini împrejurările și condițiile în care autoritățile canadiene vizate de acordul preconizat pot avea acces la aceste date în vederea utilizării lor. De asemenea, această utilizare ar trebui să fie condiționată, cu excepția situațiilor de urgență justificate corespunzător, de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă, a căror decizie de autorizare a utilizării intervine în urma unei cereri motivate a acestor autorități, formulată, printre altele, în cadrul procedurilor de prevenire, de detectare sau de urmărire penală.
209 În ceea ce privește durata păstrării datelor PNR ale pasagerilor aerieni vizați la punctul 207 din prezentul aviz, trebuie arătat că durata generală, prevăzută la articolul 16 alineatul (1) din acordul preconizat, a fost prelungită cu un an și jumătate față de cea care figura în acordul din 2006. În această privință trebuie admis însă, în lumina considerațiilor prezentate în special de Consiliu și de Comisie și care sunt menționate la punctul 205 din prezentul aviz, că durata de cinci ani prevăzută la articolul 16 alineatul (1) din acordul amintit nu pare să depășească limitele a ceea ce este strict necesar în vederea combaterii terorismului și a altor infracțiuni transnaționale grave.
210 În sfârșit, în măsura în care, pe de o parte, articolul 9 alineatul (2) din acordul preconizat, potrivit căruia Canada păstrează datele PNR „într‑un mediu fizic sigur care este protejat prin controale de acces”, înseamnă că aceste date trebuie păstrate pe teritoriul Canadei și, pe de altă parte, articolul 16 alineatul (6) din acest acord, potrivit căruia Canada distruge datele PNR la sfârșitul perioadei de păstrare a acestora, trebuie înțeles în sensul că impune o distrugere iremediabilă a acestor date, se poate considera că dispozițiile amintite îndeplinesc cerințele de claritate și de precizie (a se vedea prin analogie Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctul 122, precum și jurisprudența citată).
211 Având în vedere considerațiile de la punctele 204-206 și 208 din prezentul aviz, acest acord nu garantează că păstrarea și utilizarea datelor PNR de către autoritățile canadiene după plecarea pasagerilor aerieni din Canada sunt limitate la strictul necesar.
7) Cu privire la divulgarea datelor PNR
i) Comunicarea datelor PNR către autorități publice
212 Articolele 18 și 19 din acordul preconizat permit comunicare datelor PNR de către autoritatea canadiană competentă către alte autorități publice canadiene și către autorități publice din alte țări terțe. În măsura în care, în fapt, o astfel de comunicare conferă respectivelor autorități acces la aceste date, precum și posibilitatea de a le utiliza, această comunicare ar trebui să respecte condițiile care guvernează utilizarea datelor respective și care sunt amintite la punctele 200-202 și 208 din prezentul aviz.
213 În ceea ce privește, mai concret, comunicarea datelor PNR către autoritățile publice din alte țări terțe, trebuie adăugat de asemenea că articolul 19 alineatul (1) litera (e) din acordul preconizat conferă autorității canadiene competente o putere discreționară pentru a aprecia nivelul de protecție garantat în aceste țări.
214 În această privință trebuie amintit că un transfer de date cu caracter personal din Uniune către o țară terță nu poate avea loc decât dacă această țară asigură un nivel de protecție a libertăților și a drepturilor fundamentale echivalent în esență cu cel garantat în cadrul Uniunii. Această cerință se aplică de asemenea în cazul comunicării datelor PNR din Canada către alte țări terțe, vizată la articolul 19 din acordul preconizat, pentru a evita eludarea nivelului de protecție prevăzut de acest acord prin transferuri de date cu caracter personal către alte țări terțe și pentru a garanta continuitatea nivelului de protecție oferit de dreptul Uniunii (a se vedea prin analogie Hotărârea din 6 octombrie 2015, Schrems, C‑362/14, EU:C:2015:650, punctele 72 și 73). În aceste condiții, o astfel de comunicare necesită fie existența unui acord între Uniune și țara terță vizată echivalent cu acordul menționat mai sus, fie existența unei decizii a Comisiei în temeiul articolului 25 alineatul (6) din Directiva 95/46, prin care să se constate că respectiva țară terță asigură un nivel de protecție adecvat în sensul dreptului Uniunii și care să includă autoritățile către care se preconizează transferul datelor PNR.
215 În măsura în care articolele 18 și 19 din acordul preconizat nu îndeplinesc cerințele vizate la punctele 212-214 din prezentul aviz, acest acord nu garantează că comunicarea datelor PNR de către autoritatea canadiană competentă către alte autorități publice canadiene sau către autorități publice din alte țări terțe va fi limitată la strictul necesar.
ii) Divulgarea datelor PNR către particulari
216 Articolul 12 alineatul (3) din acordul preconizat îi permite Canadei „[să divulge] orice informație care face obiectul unor cerințe și restricții legale rezonabile […], acordând atenția cuvenită interesului legitim al persoanei în cauză”. Or, acest acord nu stabilește nici natura informației care poate fi divulgată, nici beneficiarii acestei divulgări și nici utilizarea care se va da acestei informații.
217 În plus, acordul preconizat nu definește termenii „cerințe și restricții legale rezonabile” și nici termenii „interesul legitim al persoanei în cauză” și nici nu impune ca divulgarea datelor PNR către un particular să fie în legătură cu combaterea terorismului și a altor infracțiuni transnaționale grave sau ca această divulgare să fie condiționată de o autorizare din partea unei autorități judiciare sau a unei entități administrative independente. În aceste condiții, această dispoziție depășește limitele a ceea ce este strict necesar.
3. Cu privire la drepturile individuale ale pasagerilor aerieni
218 Articolul 8 alineatul (2) a doua teză din cartă garantează că persoanele ale căror date cu caracter personal au fost colectate au dreptul de acces la acestea și dreptul de a obține rectificarea lor.
219 În plus, în ceea ce privește articolul 7 din cartă, Curtea a statuat deja că dreptul fundamental la respectarea vieții private, consacrat la acest articol, presupune ca persoana vizată să poată să se asigure că datele sale cu caracter personal sunt prelucrate în mod exact și legal. Pentru a putea efectua verificările necesare, această persoană trebuie să dispună de un drept de acces la datele care o privesc și care fac obiectul prelucrării (a se vedea în acest sens Hotărârea din 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punctul 49).
220 Pentru a asigura respectarea acestor drepturi, este important ca pasagerii aerieni să fie informați în privința transferului datelor lor PNR către Canada și a utilizării acestor date din momentul în care această comunicare nu poate compromite anchetele desfășurate de autoritățile publice vizate de acordul preconizat. Astfel, o asemenea informare se dovedește, de fapt, necesară pentru a le permite pasagerilor aerieni să își exercite drepturile de a solicita accesul la datele PNR care îi privesc și, dacă este cazul, rectificarea acestora, precum și de a introduce o cale de atac efectivă în fața unei instanțe, conform articolului 47 primul paragraf din cartă (a se vedea prin analogie Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctul 121, precum și jurisprudența citată).
a) Cu privire la dreptul de informare, de acces și de rectificare
221 Deși articolele 12 și 13 din acordul preconizat instituie în favoarea pasagerilor aerieni un drept de acces la datele lor PNR, precum și dreptul de a cere corectarea lor, aceste dispoziții nu impun ca pasagerii respectivi să fie informați cu privire la transferul datelor lor PNR către Canada și cu privire la utilizarea lor.
222 În această privință, acordul menționat se limitează să prevadă, la articolul 11, o regulă de transparență care impune autorității canadiene competente obligația de a afișa pe site‑ul său internet anumite informații de natură generală privind transferul datelor PNR și utilizarea lor, dar nu instituie nicio obligație de informare individuală a pasagerilor aerieni.
223 Cu siguranță, această regulă de transparență permite în mod suficient informarea pasagerilor aerieni atât cu privire la transferul datelor lor PNR către Canada, cât și cu privire la utilizarea sistematică a acestora, vizată la punctele 197 și 198 din prezentul aviz, în vederea controalelor de securitate și a controalelor la frontieră. În schimb, această informare generală a pasagerilor aerieni, prevăzută la articolul 11 din acordul preconizat, nu le dă posibilitatea de a ști dacă datele lor au fost utilizate în afara acestor controale de către autoritatea canadiană competentă. Prin urmare, în cazurile vizate la punctele 199 și 207 din prezentul aviz, în care se prezintă elemente obiective care justifică o astfel de utilizare și care necesită o autorizație prealabilă din partea unei autorități judiciare sau a unei entități administrative independente, este necesară o informare individuală a pasagerilor aerieni. Această situație se regăsește în cazurile în care datele PNR ale pasagerilor aerieni sunt comunicate către alte autorități publice sau către particulari.
224 Cu toate acestea, o astfel de informare nu poate interveni, conform jurisprudenței citate la punctul 220 din prezentul aviz, decât din momentul în care ea nu poate compromite anchetele desfășurate de autoritățile publice vizate de acordul preconizat.
225 Acordul respectiv ar trebui să precizeze, așadar, că pasagerii aerieni ale căror date PNR au fost utilizate și păstrate de autoritatea canadiană competentă în cazurile vizate la punctele 199 și 207 din prezentul aviz, precum și cei ale căror date au fost comunicate altor autorități publice sau unor particulari sunt informați de către această autoritate cu privire la o astfel de utilizare și la o astfel de comunicare în condițiile vizate la punctul anterior din prezentul aviz.
b) Cu privire la dreptul la o cale de atac
226 În ceea ce privește dreptul la o cale de atac al pasagerilor aerieni, potrivit articolului 14 alineatul (2) din acordul preconizat, Canada asigură faptul că orice persoană care consideră că i‑au fost încălcate drepturile printr‑o decizie sau o acțiune în legătură cu datele sale PNR poate exercita căi de atac judiciare eficace în conformitate cu legislația canadiană, sau orice altă măsură reparatorie, care poate să includă acordarea unei compensații.
227 În măsura în care această dispoziție privește „orice persoană care consideră că i‑au fost încălcate drepturile”, ea acoperă toți pasagerii aerieni, indiferent de cetățenia acestora, de reședința lor, de domiciliul lor sau de prezența lor în Canada. În plus, astfel cum a arătat Consiliul, ea trebuie înțeleasă în sensul că pasagerii aerieni dispun de o cale de atac în fața unei instanțe, după cum impune articolul 47 primul paragraf din cartă. Faptul că articolul 14 alineatul (2) din acordul preconizat prevede că această „cale de atac eficace” poate fi completată cu o acțiune în despăgubire nu are ca efect, contrar celor susținute de Parlament, să priveze pasagerii aerieni de o asemenea cale de atac eficace, ci este mai degrabă de natură să consolideze protecția jurisdicțională a persoanelor vizate, după cum a arătat avocatul general la punctul 324 din concluzii.
4. Cu privire la supravegherea garanțiilor în domeniul protecției datelor PNR
228 Potrivit articolului 8 alineatul (3) din cartă, respectarea cerințelor care decurg din articolul 8 alineatele (1) și (2) din aceasta se supune controlului unei autorități independente.
229 Conform jurisprudenței constante a Curții, garanția de independență a unei astfel de autorități de supraveghere, a cărei înființare este prevăzută și de articolul 16 alineatul (2) TFUE, urmărește să asigure eficiența și fiabilitatea supravegherii respectării dispozițiilor în domeniul protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și trebuie să fie interpretată în lumina acestui obiectiv. Instituirea unei autorități de supraveghere independente constituie, așadar, un element esențial al respectării protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter personal (Hotărârea din 9 martie 2010, Comisia/Germania, C‑518/07, EU:C:2010:125, punctul 25, Hotărârea din 8 aprilie 2014, Comisia/Ungaria, C‑288/12, EU:C:2014:237, punctul 48, precum și Hotărârea din 6 octombrie 2015, Schrems, C‑362/14, EU:C:2015:650, punctul 41).
230 În speță, articolul 10 alineatul (1) prima teză din acordul preconizat stipulează că garanțiile în materie de protecție a datelor în ceea ce privește prelucrarea datelor PNR vor face obiectul supravegherii de către o „autoritate publică independentă” sau de către o „autoritate creată prin mijloace administrative care își exercită funcțiile în mod imparțial și care și‑a demonstrat autonomia”. Întrucât această dispoziție prevede că respectiva supraveghere este exercitată de către o autoritate independentă, ea corespunde cerinței care figurează la articolul 8 alineatul (3) din cartă. În schimb, formularea sa alternativă pare să permită ca această supraveghere să poată, în parte sau în integralitate, să fie asigurată de o autoritate care nu își exercită misiunea în deplină independență, ci este subordonată unei autorități de tutelă de la care poate primi instrucțiuni, și care, așadar, nu este liberă de orice influență exterioară care i‑ar putea orienta deciziile.
231 În aceste condiții și astfel cum a arătat avocatul general la punctul 316 din concluzii, articolul 10 din acordul preconizat nu garantează în mod suficient de clar și de precis că supravegherea respectării normelor prevăzute de acest acord, referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor PNR, se va efectua de către o autoritate independentă, în sensul articolului 8 alineatul (3) din cartă.
IX. Răspunsul la cererea de aviz
232 În lumina tuturor considerațiilor care precedă, este necesar să se constate că:
1) decizia Consiliului privind încheierea acordului preconizat trebuie să se întemeieze concomitent pe articolul 16 alineatul (2) și pe articolul 87 alineatul (2) litera (a) TFUE;
2) acordul preconizat este incompatibil cu articolele 7, 8 și 21, precum și cu articolul 52 alineatul (1) din cartă în măsura în care nu exclude transferul datelor sensibile din Uniune spre Canada, precum și utilizarea și păstrarea acestor date;
3) acordul preconizat trebuie, pentru a fi compatibil cu articolele 7 și 8, precum și cu articolul 52 alineatul (1) din cartă:
a) să stabilească în mod clar și precis datele PNR care trebuie transferate din Uniune spre Canada;
b) să prevadă că modelele și criteriile utilizate în cadrul prelucrării automate a datelor PNR vor fi specifice și fiabile, precum și nediscriminatorii; să prevadă că bazele de date utilizate vor fi limitate la cele exploatate de Canada în raport cu combaterea terorismului și a altor infracțiuni transnaționale grave;
c) să supună, în afara cadrului verificărilor referitoare la modelele și la criteriile prestabilite pe care se bazează prelucrarea automată a datelor PNR, utilizarea acestor date de către autoritatea canadiană competentă în timpul șederii pasagerilor aerieni în Canada și după plecarea lor din această țară, precum și orice comunicare a respectivelor date către alte autorități unor condiții materiale și procedurale bazate pe criterii obiective; să condiționeze această utilizare și această comunicare, cu excepția unor situații de urgență justificate corespunzător, de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă, a căror decizie de autorizare a utilizării intervine în urma unei cereri motivate a acestor autorități, în special în cadrul procedurilor de prevenire, de detectare sau de urmărire penală;
d) să limiteze păstrarea datelor PNR după plecarea pasagerilor aerieni la cele ale pasagerilor în privința cărora există elemente obiective care permit să se considere că ar putea prezenta un risc în privința combaterii terorismului și a altor infracțiuni transnaționale grave;
e) să supună comunicarea datelor PNR de către autoritatea canadiană competentă către autorități publice dintr‑o țară terță condiției să existe fie un acord între Uniune și această țară terță echivalent cu acordul preconizat, fie o decizie a Comisiei, în temeiul articolului 25 alineatul (6) din Directiva 95/46, care să includă autoritățile către care se preconizează comunicarea datelor PNR;
f) să prevadă un drept la informarea individuală a pasagerilor aerieni în cazul utilizării datelor PNR care îi privesc în timpul șederii lor în Canada și după plecarea lor din această țară, precum și în cazul divulgării acestor date de către autoritatea canadiană competentă către alte autorități sau către particulari și
g) să garanteze că supravegherea normelor prevăzute de acordul preconizat, referitoare la protecția pasagerilor aerieni în ceea ce privește prelucrarea datelor PNR care îi privesc, este asigurată de o autoritate de supraveghere independentă.
În consecință, Curtea (Marea Cameră) emite următorul aviz:
Lenaerts Tizzano Bay Larsen
von Danwitz Da Cruz Vilaça Berger
Prechal Vilaras Rosas
A. Calot Escobar | | K. Lenaerts |