Cauza C‑817/19
Ligue des droits humains
împotriva
Conseil des ministres
[cerere de decizie preliminară formulată de Cour constitutionnelle (Curtea Constituțională, Belgia)]
Hotărârea Curții (Marea Cameră) din 21 iunie 2022
„Trimitere preliminară – Prelucrarea datelor cu caracter personal – Datele din registrul cu numele pasagerilor (PNR) – Regulamentul (UE) 2016/679 – Articolul 2 alineatul (2) litera (d) – Domeniu de aplicare – Directiva (UE) 2016/681 – Utilizarea datelor PNR ale pasagerilor zborurilor aeriene operate între Uniunea Europeană și țări terțe – Posibilitatea de a include datele pasagerilor zborurilor aeriene operate în cadrul Uniunii – Prelucrarea automată a acestor date – Termen de păstrare – Combaterea infracțiunilor de terorism și a infracțiunilor grave – Validitate – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7, 8 și 21, precum și articolul 52 alineatul (1) – Legislație națională care extinde aplicarea sistemului PNR la alte transporturi efectuate în cadrul Uniunii – Libertatea de circulație în cadrul Uniunii – Carta drepturilor fundamentale – Articolul 45”
1. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Domeniu de aplicare – Prelucrarea datelor cu caracter personal prevăzute de o reglementare națională prin care se urmărește transpunerea Directivelor 2004/82, 2010/65 și 2016/681 – Includere – Limite
[Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 2 alin. (2) lit. (d) și art. 23; Directivele 2010/65, 2016/680 și 2016/681 ale Parlamentului European și ale Consiliului; Directiva 2004/82 a Consiliului]
(a se vedea punctele 67, 68, 73, 74, 80, 83 și 84 și dispozitiv 1)
2. Cooperare polițienească – Cooperare judiciară în materie penală – Utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave – Directiva 2016/681 – Date din PNR – Conținut – Pasageri aerieni și zboruri vizați – Prelucrarea automatizată a acestor date – Încălcarea dreptului la respectarea vieții private și la protecția datelor cu caracter personal – Lipsă
[Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8 și 21 și art. 52 alin. (1); Directiva 2016/681 a Parlamentului European și a Consiliului, art. 1 alin. (2), art. 2 și art. 3 pct. 2, 4, 8 și 9, art. 6, 12 și anexele I și II]
(a se vedea punctele 94-97, 111, 122, 123, 129, 131-140, 152, 157, 162, 169-175, 184, 188, 197, 202, 213, 218-220, 223 și 225-228 și dispozitiv 2)
3. Drepturi fundamentale – Respectarea vieții private – Protecția datelor cu caracter personal – Limitări – Condiții
[Carta drepturilor fundamentale a Uniunii Europene, art. 7 și 8 și art. 52 alin. (1)]
(a se vedea punctele 115-118)
4. Cooperare polițienească – Cooperare judiciară în materie penală – Utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave – Directiva 2016/681 – Prelucrarea datelor PNR – Finalități – Prelucrare în alte scopuri decât cele prevăzute în mod expres – Inadmisibilitate
[Carta drepturilor fundamentale a Uniunii Europene, art. 7 și 8 și art. 52 alin. (1); Directiva 2016/681 a Parlamentului European și a Consiliului, art. 1 alin. (2) și art. 6]
(a se vedea punctele 233, 235, 237, 288 și 289 și dispozitiv 3)
5. Cooperare polițienească – Cooperare judiciară în materie penală – Utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave – Directiva 2016/681 – Comunicarea datelor din PNR după trecerea celor șase luni de la transferul lor de către transportatorii aerieni – Condiție – Aprobare de către o autoritate națională competentă – Noțiune – Unitate de informații despre pasageri – Excludere
[Carta drepturilor fundamentale a Uniunii Europene, art. 7 și 8; Directiva 2016/681 a Parlamentului European și a Consiliului, art. 4 alin. (1)-(3) și art. 12 alin. (3) lit. (b)]
(a se vedea punctele 244, 245 și 247 și dispozitiv 4)
6. Cooperare polițienească – Cooperare judiciară în materie penală – Utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave – Directiva 2016/681 – Perioada de păstrare a datelor din PNR – Durata generală de păstrare de cinci ani, aplicabilă fără distincție tuturor pasagerilor aerieni – Inadmisibilitate
[Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8 și 45 și art. 52 alin. (1); Directiva 2016/681 a Parlamentului European și a Consiliului, art. 12]
(a se vedea punctele 251, 255-259 și 262 și dispozitiv 5)
7. Controale la frontiere, azil și imigrare – Obligația operatorilor de transport de a comunica datele referitoare la pasageri – Directiva 2004/82 – Domeniu de aplicare – Zboruri intra‑UE – Excludere
[Directiva 2016/681 a Parlamentului European și a Consiliului, art. 2; Directiva 2004/82 a Consiliului, art. 2 lit. (a), (b) și (d), art. 3 alin. (1) și (2) și art. 6 alin. (1)]
(a se vedea punctele 266-269 și dispozitiv 6)
8. Cooperare polițienească – Cooperare judiciară în materie penală – Utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave – Directiva 2016/681 – Aplicarea directivei la zborurile intra‑UE – Aplicarea la toate zborurile intra‑UE și a transporturilor efectuate prin alte mijloace în interiorul Uniunii în lipsa unei amenințări teroriste reale și actuale sau previzibile – Inadmisibilitate – Aplicare limitată – Admisibilitate – Condiții
[art. 3 alin. (2) TUE; art. 67 alin. (2) TFUE; Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8 și 45 și art. 52 alin. (1); Directiva 2016/681 a Parlamentului European și a Consiliului]
(a se vedea punctele 277-282, 285, 290 și 291 și dispozitiv 7)
9. Dreptul Uniunii – Supremație – Directiva 2016/681 – Anularea de către instanța națională a unor dispoziții naționale incompatibile cu această directivă – Posibilitatea de a menține efectele dispozițiilor în cauză – Lipsă – Admisibilitatea elementelor de probă obținute în temeiul acestor dispoziții – Aplicarea dreptului național – Limite – Respectarea principiilor echivalenței și efectivității
[art. 3 alin. (2) TUE; art. 67 alin. (2) TFUE; Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8 și 45 și art. 52 alin. (1); Directiva 2016/681 a Parlamentului European și a Consiliului]
(a se vedea punctele 293-298 și dispozitiv 8)
Rezumat
Datele din PNR (Passenger Name Record) sunt informații de rezervare stocate de transportatorii aerieni în sistemele lor de rezervare și de control al plecărilor. Directiva PNR(1) obligă acești transportatori să transfere datele oricărui pasager care efectuează un zbor extra‑UE, operat între o țară terță și Uniunea Europeană, către unitatea de informații despre pasageri (denumită în continuare „UIP”) a statului membru de destinație sau de plecare a zborului în cauză pentru a combate terorismul și infracțiunile grave. De fapt, datele din PNR astfel transferate fac obiectul unei evaluări prealabile de către UIP(2) și sunt apoi păstrate în vederea unei eventuale evaluări ulterioare de către autoritățile competente ale statului membru în cauză sau de către cele ale unui alt stat membru. Statele membre pot decide să aplice directiva și în cazul zborurilor intra‑UE(3).
Cour constitutionnelle (Curtea Constituțională, Belgia) a fost sesizată de Ligue des droits humains cu o acțiune în anulare împotriva Legii din 25 decembrie 2016(4), care transpune în dreptul belgian atât Directiva PNR, cât și Directiva API(5). Potrivit reclamantei, această lege încalcă dreptul la respectarea vieții private și la protecția datelor cu caracter personal. Reclamanta critică, pe de o parte, caracterul prea larg al datelor din PNR și, pe de altă parte, caracterul general al colectării, al transferului și al prelucrării acestor date. Legea ar aduce atingere și liberei circulații a persoanelor prin faptul că ar restabili în mod indirect controale la frontiere prin extinderea sistemului PNR în cazul zborurilor intra‑UE și în cazul transporturilor efectuate cu alte mijloace în interiorul Uniunii.
În acest context, Cour constitutionnelle (Curtea Constituțională) belgiană a adresat Curții zece întrebări preliminare referitoare în special la validitatea și la interpretarea Directivei PNR, precum și la aplicabilitatea RGPD(6).
Aceste întrebări determină Curtea să analizeze încă o dată prelucrarea datelor din PNR din perspectiva drepturilor fundamentale la respectarea vieții private și la protecția datelor cu caracter personal(7), consacrate de Carta drepturilor fundamentale a Uniunii Europene(8). Prin hotărârea pronunțată în Marea Cameră, Curtea confirmă validitatea Directivei PNR în măsura în care aceasta poate fi interpretată în conformitate cu carta și aduce precizări cu privire la interpretarea unora dintre dispozițiile sale(9).
Aprecierea Curții
După ce a precizat cărora dintre prelucrările de date cu caracter personal prevăzute de o legislație națională care urmărește, precum cea în cauză, să transpună în același timp Directiva API și Directiva PNR li se aplică normele generale ale RGPD(10), Curtea verifică validitatea Directivei PNR.
Cu privire la validitatea Directivei PNR
În hotărârea sa, Curtea statuează că, din moment ce interpretarea dedusă de Curte din dispozițiile Directivei PNR în lumina drepturilor fundamentale garantate de articolele 7, 8 și 21, precum și de articolul 52 alineatul (1) din cartă(11) asigură conformitatea acestei directive cu aceste articole, analiza întrebărilor adresate nu a scos la iveală niciun element de natură să afecteze validitatea directivei menționate.
Cu titlu prealabil, Curtea amintește că un act al Uniunii trebuie interpretat, în măsura posibilului, într‑un mod care să nu repună în discuție validitatea acestuia și în conformitate cu dreptul primar în ansamblul său și în special cu dispozițiile cartei, statele membre fiind obligate astfel să se asigure că nu se întemeiază pe o interpretare a acestuia care ar intra în conflict cu drepturile fundamentale protejate de ordinea juridică a Uniunii sau cu celelalte principii generale recunoscute de această ordine juridică. Referitor la Directiva PNR, Curtea precizează că un număr important de considerente ale acesteia și de dispoziții din aceasta impun o asemenea interpretare conformă, punând accentul pe importanța pe care legiuitorul Uniunii o acordă, prin trimiterea făcută la un nivel ridicat de protecție a datelor, respectării depline a drepturilor fundamentale consacrate de cartă.
Curtea constată că Directiva PNR conține ingerințe de o gravitate certă în drepturile garantate de articolele 7 și 8 din cartă, mai ales în măsura în care aceasta urmărește să instituie un regim de supraveghere continuu, nedirecționat și sistematic, care include evaluarea automatizată a datelor cu caracter personal ale tuturor persoanelor care recurg la servicii de transport aerian. Aceasta amintește că posibilitatea statelor membre de a justifica o astfel de ingerință trebuie apreciată cântărind gravitatea sa și verificând că importanța obiectivului de interes general urmărit este în raport cu această gravitate.
Curtea concluzionează că transferul, prelucrarea și păstrarea datelor din PNR prevăzute de această directivă pot fi considerate limitate la strictul necesar pentru combaterea infracțiunilor de terorism și a infracțiunilor grave, cu condiția ca respectivele competențe prevăzute de Directiva PNR să facă obiectul unei interpretări stricte. În această privință, hotărârea pronunțată în această zi precizează printre altele că:
– sistemul instituit de Directiva PNR nu trebuie să privească decât informațiile care pot fi identificate în mod clar și care se circumscriu rubricilor care se regăsesc în anexa I la aceasta, care sunt în legătură cu un zbor efectuat și cu pasagerul avut în vedere, ceea ce implică, pentru anumite rubrici din această anexă, că numai informațiile vizate în mod expres fac obiectul directivei(12);
– aplicarea sistemului instituit de Directiva PNR trebuie să se limiteze la infracțiunile de terorism și doar la infracțiunile grave care au o legătură obiectivă, cel puțin indirectă, cu transportul aerian de pasageri. Referitor la aceste forme, aplicarea sistemului menționat nu poate fi extins la infracțiuni care, deși îndeplinesc criteriul prevăzut de această directivă privind nivelul de gravitate și sunt în special menționate în anexa II la aceasta, se încadrează în rândul infracțiunilor de drept comun, având în vedere particularitățile sistemului de drept penal național;
– eventuala extindere a aplicării Directivei PNR la toate sau la o parte din zborurile intra‑UE pe care un stat membru o poate decide făcând uz de posibilitatea prevăzută de această directivă trebuie să fie limitată la strictul necesar. În acest scop, ea trebuie să poată face obiectul unui control efectiv al unei instanțe sau al unei entități administrative independente a cărei decizie să aibă efect obligatoriu. În această privință, Curtea precizează că:
– numai în situația în care respectivul stat membru constată existența unor împrejurări suficient de concrete pentru a aprecia că se confruntă cu o amenințare teroristă care se dovedește reală și actuală sau previzibilă, aplicarea acestei directive în cazul tuturor zborurilor intra‑UE dinspre sau către statul membru menționat, pentru o durată limitată la strictul necesar, dar care poate fi prelungită, nu depășește limitele strictului necesar(13);
– în lipsa unei astfel de amenințări teroriste, aplicarea directivei menționate nu se poate extinde la toate zborurile intra‑UE, ci trebuie să se limiteze la zborurile intra‑UE care vizează în special anumite legături aeriene sau scheme de zbor sau chiar anumite aeroporturi pentru care există, potrivit aprecierii statului membru interesat, indicii de natură să justifice această aplicare. Caracterul strict necesar al acestei aplicări în cazul zborurilor intra‑UE astfel selectate trebuie să fie în mod regulat reexaminat în funcție de evoluția condițiilor care au justificat selectarea lor;
– pentru evaluarea prealabilă a datelor din PNR, care are ca obiectiv identificarea persoanelor pentru care este necesară o examinare mai aprofundată înainte de sosirea sau de plecarea lor și care este, într‑o primă fază, efectuată prin prelucrări automatizate, UIP nu poate, pe de o parte, să compare aceste date decât cu bazele de date care privesc persoanele sau obiectele căutate sau care fac obiectul unei alerte(14). Aceste baze de date trebuie să fie nediscriminatorii și exploatate de autoritățile competente în relație cu combaterea terorismului și a infracțiunilor grave care au o legătură obiectivă, cel puțin indirectă, cu transportul aerian de pasageri. În ceea ce privește, pe de altă parte, evaluarea prealabilă în raport cu criteriile prestabilite, UIP nu poate utiliza tehnologii de inteligență artificială în cadrul sistemului de autoinstruire (machine learning) de natură să modifice, fără intervenție și control umane, procesul de evaluare și în special criteriile de evaluare pe care se întemeiază rezultatul aplicării acestui proces, precum și evaluarea comparativă a acestor criterii. Criteriile menționate trebuie să fie stabilite într‑un mod în care aplicarea lor să vizeze în mod specific particularii față de care ar putea să existe o suspiciune rezonabilă de participare la infracțiuni de terorism sau la infracțiuni grave și în care să se țină cont atât de elemente „incriminatorii”, cât și de elemente „dezincriminatorii”, fără a da naștere unor discriminări directe sau indirecte(15);
– ținând cont de marja de eroare inerentă unor asemenea prelucrări automatizate a datelor din PNR și de numărul destul de consecvent de rezultate „fals pozitive” obținute în urma aplicării lor în cursul anilor 2018 și 2019, capacitatea sistemului instituit prin Directiva PNR de a atinge obiectivele urmărite depinde esențialmente de buna funcționare a verificării rezultatelor pozitive obținute în temeiul acestor prelucrări, pe care UIP le efectuează, într‑o a doua fază, prin mijloace neautomatizate. În această privință, statele membre trebuie să prevadă norme clare și precise de natură să ghideze și să încadreze analiza efectuată de agenții UIP însărcinați cu această reexaminare individuală pentru a asigura respectarea deplină a drepturilor fundamentale consacrate la articolele 7, 8 și 21 din cartă și în special pentru a garanta o practică administrativă coerentă în sânul UIP cu respectarea principiului nediscriminării. În special, aceștia trebuie să se asigure că UIP stabilește criterii de reexaminare obiective care permit agenților săi să verifice, pe de o parte, dacă și în ce măsură un rezultat pozitiv (hit) privește efectiv un particular care este susceptibil de a fi implicat în săvârșirea de infracțiuni de terorism sau de infracțiuni grave, precum și, pe de altă parte, caracterul nediscriminatoriu al prelucrărilor automatizate. În acest context, Curtea subliniază în plus că autoritățile competente trebuie să se asigure că persoana interesată poate înțelege funcționarea criteriilor de evaluare prestabilite și a programelor care aplică aceste criterii, așa încât să poată decide, în deplină cunoștință de cauză, dacă își exercită sau nu dreptul la o cale de atac jurisdicțională. De asemenea, în cadrul unei astfel de căi de atac, instanța însărcinată cu controlul legalității deciziei adoptate de autoritățile competente, precum și, mai puțin în cazurile de amenințări la adresa siguranței statului, persoana interesată însăși trebuie să poată lua la cunoștință atât de ansamblul motivelor, cât și de elementele de probă pe baza cărora a fost adoptată această decizie, inclusiv de criteriile de evaluare prestabilite și de funcționarea programelor care aplică aceste criterii;
– comunicarea și evaluarea ulterioare ale datelor din PNR, altfel spus, după sosirea sau plecarea persoanei avute în vedere, nu se pot efectua decât pe baza unor împrejurări noi și a unor elemente obiective care fie sunt de natură să fundamenteze suspiciunea rezonabilă de implicare a acestei persoane în săvârșirea de infracțiuni grave care au o legătură obiectivă, cel puțin indirectă, cu transportul aerian de pasageri, fie permit să se aprecieze că aceste date ar putea, într‑un caz concret, să aducă o contribuție efectivă în combaterea infracțiunilor de terorism care au o atare legătură. Comunicarea datelor din PNR în vederea unei asemenea evaluări ulterioare trebuie să fie în principiu, mai puțin în caz de urgență justificată în mod corespunzător, subordonată unui control prealabil efectuat fie de o instanță, fie de o autoritate administrativă independentă, la cererea motivată a autorităților competente, indiferent dacă această cerere a fost formulată înainte sau după expirarea termenului de șase luni ulterior transferului acestor date către UIP(16).
Cu privire la interpretarea Directivei PNR
După ce a constatat validitatea Directivei PNR, Curtea aduce precizări suplimentare cu privire la interpretarea acestei directive. În primul rând, Curtea arată că directiva enumeră în mod exhaustiv obiectivele urmărite de prelucrarea datelor din PNR. Prin urmare, această directivă se opune unei legislații naționale care autorizează prelucrarea datelor din PNR în alte scopuri decât combaterea infracțiunilor de terorism și a infracțiunilor grave. Astfel, o legislație națională care admite în plus, ca scop al prelucrării datelor din PNR, supravegherea activităților vizate de serviciile de informații și de securitate poate să încalce caracterul exhaustiv al acestei enumerări. Sistemul instituit de Directiva PNR nu poate fi prevăzut nici în scopul îmbunătățirii controalelor la frontiere și al combaterii imigrației clandestine(17). Rezultă de asemenea că datele din PNR nu pot fi păstrate într‑o bază de date unică ce poate fi consultată în scopul urmăririi atât a scopurilor Directivei PNR, cât și a altor scopuri.
În al doilea rând, Curtea explicitează noțiunea de autoritate națională independentă competentă să verifice dacă condițiile pentru dezvăluirea datelor din PNR în scopul evaluării ulterioare sunt îndeplinite și să aprobe o astfel de dezvăluire. Mai precis, autoritatea instituită în calitate de UIP nu poate fi calificată ca atare întrucât nu are calitatea de terț în raport cu autoritatea care solicită accesul la date. Astfel, întrucât membrii personalului său pot fi agenți detașați de autoritățile abilitate să solicite un asemenea acces, UIP pare în mod necesar legată de aceste autorități. Prin urmare, Directiva PNR se opune unei legislații naționale potrivit căreia autoritatea înființată ca UIP are totodată calitatea de autoritate națională competentă abilitată să aprobe comunicarea datelor din PNR la expirarea celor șase luni ulterioare transferului acestor date către UIP.
În al treilea rând, în ceea ce privește termenul de păstrare a datelor din PNR, Curtea statuează că articolul 12 din Directiva PNR, interpretat în lumina articolelor 7 și 8, precum și a articolului 52 alineatul (1) din cartă, se opune unei legislații naționale care prevede o durată generală de păstrare a acestor date de cinci ani, aplicabilă fără distincție tuturor pasagerilor aerieni.
Astfel, în opinia Curții, după expirarea perioadei de păstrare inițiale de șase luni, păstrarea datelor din PNR nu apare ca fiind limitată la strictul necesar în ceea ce îi privește pe pasagerii aerieni pentru care nici evaluarea prealabilă, nici eventualele verificări efectuate în perioada de păstrare inițială de șase luni și nicio altă împrejurare nu au dezvăluit existența unor elemente obiective – cum ar fi faptul că datele din PNR ale pasagerilor vizați au dat naștere unui rezultat pozitiv verificat în cadrul evaluării prealabile – de natură a demonstra existența unui risc în materie de infracțiuni de terorism sau de infracțiuni grave care au o legătură obiectivă, cel puțin indirectă, cu călătoria aeriană efectuată de acești pasageri. În schimb, Curtea apreciază că, în perioada inițială de șase luni, păstrarea datelor din PNR ale tuturor pasagerilor aerieni supuși sistemului instituit prin această directivă nu pare, în principiu, să depășească limitele strictului necesar.
În al patrulea rând, Curtea furnizează indicații privind o eventuală aplicare a Directivei PNR, în scopul combaterii infracțiunilor de terorism și a infracțiunilor grave, altor moduri de transport care transportă pasageri în Uniune. Or, directiva, interpretată în lumina articolului 3 alineatul (2) TUE, a articolului 67 alineatul (2) TFUE și a articolului 45 din cartă, se opune unui sistem de transfer și de prelucrare a datelor din PNR ale ansamblului de transporturi efectuate cu alte mijloace în interiorul Uniunii în lipsa unei amenințări teroriste reale și actuale sau previzibile cu care se confruntă statul membru în cauză. Într‑o asemenea situație, la fel ca în cazul zborurilor intra‑UE, aplicarea sistemului instituit prin Directiva PNR trebuie să fie limitată la datele din PNR ale transporturilor referitoare în special la anumite legături sau scheme de călătorie ori chiar la anumite aeroporturi, gări sau porturi maritime pentru care există indicii de natură să justifice această aplicare. Revine statului membru în cauză sarcina de a selecționa transporturile pentru care există asemenea indicii și de a reexamina periodic această aplicare în funcție de evoluția condițiilor care au justificat selectarea lor.