Affaire C‑817/19
Ligue des droits humains
contre
Conseil des ministres
[demande de décision préjudicielle, introduite par la Cour constitutionnelle (Belgique)]
Arrêt de la Cour (grande chambre) du 21 juin 2022
« Renvoi préjudiciel – Traitement des données à caractère personnel – Données des dossiers passagers (PNR) – Règlement (UE) 2016/679 – Article 2, paragraphe 2, sous d) – Champ d’application – Directive (UE) 2016/681 – Utilisation des données PNR des passagers des vols aériens opérés entre l’Union européenne et des pays tiers – Faculté d’inclure les données des passagers des vols aériens opérés au sein de l’Union – Traitements automatisés de ces données – Délai de conservation – Lutte contre les infractions terroristes et les formes graves de criminalité – Validité – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 21 ainsi qu’article 52, paragraphe 1 – Législation nationale étendant l’application du système PNR à d’autres transports opérés au sein de l’Union – Liberté de circulation au sein de l’Union – Charte des droits fondamentaux – Article 45 »
1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Champ d’application – Traitements de données à caractère personnel prévus par une réglementation nationale visant à transposer les directives 2004/82, 2010/65 et 2016/681 – Inclusion – Limites
[Règlement du Parlement européen et du Conseil 2016/679, art. 2, § 2, d), et 23 ; directives du Parlement européen et du Conseil 2010/65, 2016/680 et 2016/681 ; directive du Conseil 2004/82]
(voir points 67, 68, 73, 74, 80, 83, 84, disp. 1)
2. Coopération policière – Coopération judiciaire en matière pénale – Utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière – Directive 2016/681 – Données PNR – Portée – Passagers aériens et vols concernés – Traitements automatisés de ces données – Violation des droits au respect de la vie privée et à la protection des données à caractère personnel – Absence
(Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 21 et 52, § 1 ; directive du Parlement européen et du Conseil 2016/681, art. 1, § 2, 2, 3, points 2, 4, 8 et 9, 6, 12 et annexes I et II)
(voir points 94-97, 111, 122, 123, 129, 131-140, 152, 157, 162, 169-175, 184, 188, 197, 202, 213, 218-220, 223, 225-228, disp. 2)
3. Droits fondamentaux – Respect de la vie privée – Protection des données à caractère personnel – Limitations – Conditions
(Charte des droits fondamentaux de l’Union européenne, art. 7, 8 et 52, § 1)
(voir points 115-118)
4. Coopération policière – Coopération judiciaire en matière pénale – Utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière – Directive 2016/681 – Traitement des données PNR – Finalités – Traitement à des fins autres que celles expressément prévues – Inadmissibilité
(Charte des droits fondamentaux de l’Union européenne, art. 7, 8 et 52, § 1 ; directive du Parlement européen et du Conseil 2016/681, art. 1, § 2, et 6)
(voir points 233, 235, 237, 288, 289, disp. 3)
5. Coopération policière – Coopération judiciaire en matière pénale – Utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière – Directive 2016/681 – Communication des données PNR au-delà des six mois suivant leur transfert par les transporteurs aériens – Condition – Approbation par une autorité nationale compétente – Notion – Unité d’information passagers – Exclusion
[Charte des droits fondamentaux de l’Union européenne, art. 7 et 8 ; directive du Parlement européen et du Conseil 2016/681, art. 4, § 1 à 3, et 12, § 3, b)]
(voir points 244, 245, 247, disp. 4)
6. Coopération policière – Coopération judiciaire en matière pénale – Utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière – Directive 2016/681 – Période de conservation des données PNR – Durée générale de conservation de cinq ans, applicable indifféremment à tous les passagers aériens – Inadmissibilité
(Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 45 et 52, § 1 ; directive du Parlement européen et du Conseil 2016/681, art. 12)
(voir points 251, 255-259, 262, disp. 5)
7. Contrôles aux frontières, asile et immigration – Obligation pour les transporteurs de communiquer les données relatives aux passagers – Directive 2004/82 – Champ d’application – Vols intra-UE – Exclusion
[Directive du Parlement européen et du Conseil 2016/681, art. 2 ; directive du Conseil 2004/82, art. 2, a), b) et d), 3, § 1 et 2, et 6, § 1]
(voir points 266-269, disp. 6)
8. Coopération policière – Coopération judiciaire en matière pénale – Utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière – Directive 2016/681 – Application de la directive aux vols intra-UE – Application à l’ensemble des vols intra-UE et des transports effectués par d’autres moyens à l’intérieur de l’Union en l’absence de menace terroriste réelle et actuelle ou prévisible – Inadmissibilité – Application limitée – Admissibilité – Conditions
(Art. 3, § 2, TUE ; art. 67, § 2, TFUE ; charte des droits fondamentaux de l’Union européenne, art. 7, 8, 45 et 52, § 1 ; directive du Parlement européen et du Conseil 2016/681)
(voir points 277-282, 285, 290, 291, disp. 7)
9. Droit de l’Union européenne – Primauté – Directive 2016/681 – Annulation, par le juge national, de dispositions nationales incompatibles avec cette directive – Possibilité de maintenir les effets des dispositions en cause – Absence – Recevabilité des éléments de preuve obtenus en vertu de ces dispositions – Application du droit national – Limites – Respect des principes d’équivalence et d’effectivité
(Art. 3, § 2, TUE ; art. 67, § 2, TFUE ; charte des droits fondamentaux de l’Union européenne, art. 7, 8, 45 et 52, § 1 ; directive du Parlement européen et du Conseil 2016/681)
(voir points 293-298, disp. 8)
Résumé
Les données PNR (Passenger Name Record) sont des informations de réservation stockées par les transporteurs aériens dans leurs systèmes de réservation et de contrôle des départs. La directive PNR (1) oblige ces transporteurs à transférer les données de tout passager empruntant un vol extra-UE, opéré entre un pays tiers et l’Union européenne, à l’unité d’information passagers (ci-après l’« UIP ») de l’État membre de destination ou de départ du vol concerné, afin de lutter contre le terrorisme et les formes graves de criminalité. En effet, les données PNR ainsi transférées font l’objet d’une évaluation préalable par l’UIP (2) et sont ensuite conservées en vue d’une éventuelle évaluation postérieure par les autorités compétentes de l’État membre concerné ou celles d’un autre État membre. Les États membres peuvent décider d’appliquer la directive également aux vols intra-UE (3).
La Cour constitutionnelle (Belgique) a été saisie par la Ligue des droits humains d’un recours en annulation contre la loi du 25 décembre 2016 (4), qui transpose en droit belge tant la directive PNR que la directive API (5). Selon la requérante, cette loi méconnaît le droit au respect de la vie privée et à la protection des données à caractère personnel. Elle critique, d’une part, le caractère très large des données PNR et, d’autre part, le caractère général de la collecte, du transfert et du traitement de ces données. La loi porterait également atteinte à la libre circulation des personnes en ce qu’elle rétablirait indirectement des contrôles aux frontières en étendant le système PNR aux vols intra-UE et à des transports effectués par d’autres moyens à l’intérieur de l’Union.
Dans ce contexte, la Cour constitutionnelle belge a posé à la Cour dix questions préjudicielles relatives, notamment, à la validité et à l’interprétation de la directive PNR, ainsi qu’à l’applicabilité du RGPD (6).
Ces questions conduisent la Cour à se pencher une nouvelle fois sur le traitement des données PNR au regard des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel (7), consacrés par la charte des droits fondamentaux de l’Union européenne (8). Par son arrêt, rendu en grande chambre, la Cour confirme la validité de la directive PNR dans la mesure où celle-ci peut être interprétée en conformité avec la Charte et apporte des précisions quant à l’interprétation de certaines de ses dispositions (9).
Appréciation de la Cour
Après avoir précisé quels sont, parmi les traitements de données à caractère personnel prévus par une législation nationale visant, comme celle en cause, à transposer à la fois la directive API et la directive PNR, ceux auxquels s’appliquent les règles générales du RGPD (10), la Cour vérifie la validité de la directive PNR.
Sur la validité de la directive PNR
Dans son arrêt, la Cour juge que, dès lors que l’interprétation dégagée par la Cour des dispositions de la directive PNR à la lumière des droits fondamentaux garantis aux articles 7, 8 et 21 ainsi que de l’article 52, paragraphe 1, de Charte (11) assure la conformité de cette directive avec ces articles, l’examen des questions posées n’a révélé aucun élément de nature à affecter la validité de ladite directive.
À titre liminaire, elle rappelle qu’un acte de l’Union doit être interprété, dans la mesure du possible, d’une manière qui ne remette pas en cause sa validité et en conformité avec l’ensemble du droit primaire et, notamment, avec les dispositions de la Charte, les États membres devant ainsi veiller à ne pas se fonder sur une interprétation de celle-ci qui entrerait en conflit avec les droits fondamentaux protégés par l’ordre juridique de l’Union ou avec les autres principes généraux reconnus dans cet ordre juridique. S’agissant de la directive PNR, la Cour précise que bon nombre de considérants et dispositions de celle-ci exigent une telle interprétation conforme, en mettant l’accent sur l’importance que le législateur de l’Union accorde, en se référant à un niveau élevé de protection des données, au plein respect des droits fondamentaux consacrés par la Charte.
La Cour constate que la directive PNR comporte des ingérences d’une gravité certaine dans les droits garantis aux articles 7 et 8 de la Charte, dans la mesure notamment où elle vise à instaurer un régime de surveillance continu, non ciblé et systématique, incluant l’évaluation automatisée de données à caractère personnel de l’ensemble des personnes faisant usage de services de transport aérien. Elle rappelle que la possibilité pour les États membres de justifier une telle ingérence doit être appréciée en mesurant sa gravité et en vérifiant que l’importance de l’objectif d’intérêt général poursuivi est en relation avec cette gravité.
La Cour conclut que le transfert, le traitement et la conservation des données PNR prévus par cette directive peuvent être considérés comme étant limités au strict nécessaire aux fins de la lutte contre les infractions terroristes et les formes graves de criminalité, à condition que les pouvoirs prévus par ladite directive fassent l’objet d’une interprétation restrictive. À cet égard, l’arrêt rendu ce jour précise, notamment, que :
– Le système établi par la directive PNR ne doit couvrir que les informations clairement identifiables et circonscrites dans les rubriques figurant dans l’annexe I de celle-ci, lesquelles sont en rapport avec le vol effectué et avec le passager concerné, ce qui implique, pour certaines rubriques figurant dans cette annexe, que seuls les renseignements visés expressément sont couverts (12).
– L’application du système établi par la directive PNR doit être limitée aux infractions terroristes et aux seules formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers. S’agissant de ces formes, l’application de ce système ne saurait être étendue à des infractions qui, bien qu’elles remplissent le critère prévu par cette directive relatif au seuil de gravité et qu’elles soient notamment visées à l’annexe II de celle-ci, relèvent de la criminalité ordinaire compte tenu des spécificités du système pénal national.
– L’éventuelle extension de l’application de la directive PNR à tout ou partie des vols intra-UE, qu’un État membre peut décider en faisant usage de la faculté prévue par cette directive, doit être limitée au strict nécessaire. À cet effet, elle doit pouvoir faire l’objet d’un contrôle effectif par une juridiction ou par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant. À cet égard, la Cour précise que :
– Dans la seule situation où ledit État membre constate l’existence de circonstances suffisamment concrètes pour considérer qu’il fait face à une menace terroriste qui s’avère réelle et actuelle ou prévisible, l’application de cette directive à tous les vols intra-UE en provenance ou à destination dudit État membre, pour une durée limitée au strict nécessaire, mais renouvelable, n’excède pas les limites du strict nécessaire (13).
– En l’absence d’une telle menace terroriste, l’application de ladite directive ne saurait s’étendre à l’ensemble des vols intra-UE, mais doit être limitée aux vols intra-UE relatifs notamment à certaines liaisons aériennes ou à des schémas de voyage ou encore à certains aéroports pour lesquels il existe, selon l’appréciation de l’État membre concerné, des indications de nature à justifier cette application. Le caractère strictement nécessaire de cette application aux vols intra-UE ainsi sélectionnés doit régulièrement être réexaminé, en fonction de l’évolution des conditions ayant justifié leur sélection.
– Aux fins de l’évaluation préalable des données PNR, qui a pour objectif d’identifier les personnes pour lesquelles est requis un examen plus approfondi avant leur arrivée ou leur départ et qui est, dans un premier temps, effectuée au moyen de traitements automatisés, l’UIP ne peut, d’une part, confronter ces données qu’aux seules bases de données concernant les personnes ou les objets recherchés ou faisant l’objet d’un signalement (14). Ces bases de données doivent être non discriminatoires et exploitées, par les autorités compétentes, en rapport avec la lutte contre des infractions terroristes et des formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers. S’agissant, d’autre part, de l’évaluation préalable au regard de critères préétablis, l’UIP ne saurait utiliser des technologies d’intelligence artificielle dans le cadre de systèmes d’autoapprentissage (machine learning), susceptibles de modifier, sans intervention et contrôle humains, le processus d’évaluation et, en particulier, les critères d’évaluation sur lesquels se fonde le résultat de l’application de ce processus ainsi que la pondération de ces critères. Lesdits critères doivent être déterminés de manière à ce que leur application cible, spécifiquement, les individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes ou à des formes graves de criminalité et à tenir compte tant des éléments « à charge » que des éléments « à décharge », tout en ne donnant pas lieu à des discriminations directes ou indirectes (15).
– Compte tenu du taux d’erreur inhérent à de tels traitements automatisés des données PNR et du nombre assez conséquent de résultats « faux positifs », ayant été obtenus à la suite de leur application au cours des années 2018 et 2019, l’aptitude du système établi par la directive PNR à réaliser les objectifs poursuivis dépend essentiellement du bon fonctionnement de la vérification des résultats positifs, obtenus au titre de ces traitements, que l’UIP effectue, dans un deuxième temps, par des moyens non automatisés. À cet égard, les États membres doivent prévoir des règles claires et précises de nature à guider et à encadrer l’analyse effectuée par les agents de l’UIP en charge de ce réexamen individuel aux fins d’assurer le plein respect des droits fondamentaux consacrés aux articles 7, 8 et 21 de la Charte et, notamment, de garantir une pratique administrative cohérente au sein de l’UIP respectant le principe de non-discrimination. En particulier, ils doivent s’assurer que l’UIP établit des critères de réexamen objectifs permettant à ses agents de vérifier, d’une part, si et dans quelle mesure une concordance positive (hit) concerne effectivement un individu qui est susceptible d’être impliqué dans les infractions terroristes ou les formes graves de criminalité, ainsi que, d’autre part, le caractère non discriminatoire des traitements automatisés. Dans ce contexte, la Cour souligne encore que les autorités compétentes doivent s’assurer que l’intéressé peut comprendre le fonctionnement des critères d’évaluation préétablis et des programmes appliquant ces critères, de manière à ce qu’il puisse décider, en pleine connaissance de cause, s’il exerce ou non son droit à un recours juridictionnel. De même, dans le cadre d’un tel recours, le juge chargé du contrôle de la légalité de la décision adoptée par les autorités compétentes ainsi que, hormis les cas de menaces pour la sûreté de l’État, l’intéressé lui-même doivent pouvoir prendre connaissance tant de l’ensemble des motifs que des éléments de preuve sur la base desquels cette décision a été prise, y compris des critères d’évaluation préétablis et du fonctionnement des programmes appliquant ces critères.
– La communication et l’évaluation postérieures des données PNR, c’est-à-dire après l’arrivée ou le départ de la personne concernée, ne peuvent être effectuées que sur la base de circonstances nouvelles et d’éléments objectifs qui soit sont de nature à fonder un soupçon raisonnable d’implication de cette personne dans des formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers, soit permettent de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective à la lutte contre des infractions terroristes présentant un tel lien. La communication des données PNR aux fins d’une telle évaluation postérieure doit, en principe, sauf en cas d’urgence dûment justifiée, être subordonnée à un contrôle préalable effectué soit par une juridiction soit par une autorité administrative indépendante, sur demande motivée des autorités compétentes, et ce indépendamment du point de savoir si cette demande a été introduite avant ou après l’expiration du délai de six mois suivant le transfert de ces données à l’UIP (16).
Sur l’interprétation de la directive PNR
Après avoir constaté la validité de la directive PNR, la Cour apporte des précisions supplémentaires quant à l’interprétation de cette directive. Premièrement, elle relève que la directive énumère les objectifs poursuivis par le traitement des données PNR de manière exhaustive. Dès lors, cette directive s’oppose à une législation nationale qui autorise le traitement de données PNR à d’autres fins que la lutte contre les infractions terroristes et les formes graves de criminalité. Ainsi, une législation nationale admettant de surcroît, comme finalité du traitement des données PNR, le suivi des activités visées par les services de renseignement et de sécurité est susceptible de méconnaître le caractère exhaustif de cette énumération. De même, le système établi par la directive PNR ne peut être prévu aux fins de l’amélioration des contrôles aux frontières et de la lutte contre l’immigration clandestine (17). Il s’ensuit également que les données PNR ne sauraient être conservées dans une base de données unique pouvant être consultée aux fins de la poursuite tant des finalités de la directive PNR que d’autres finalités.
Deuxièmement, la Cour explicite la notion d’autorité nationale indépendante, compétente pour vérifier si les conditions de communication des données PNR, aux fins de leur évaluation postérieure, sont remplies et pour approuver une telle communication. En particulier, l’autorité mise en place en tant qu’UIP ne peut être qualifiée comme telle puisqu’elle n’a pas la qualité de tiers par rapport à l’autorité qui demande l’accès aux données. En effet, les membres de son personnel pouvant être des agents détachés par les autorités habilitées à demander un tel accès, l’UIP apparaît nécessairement liée à ces autorités. Dès lors, la directive PNR s’oppose à une législation nationale selon laquelle l’autorité mise en place en tant qu’UIP a également la qualité d’autorité nationale compétente, habilitée à approuver la communication des données PNR à l’expiration des six mois suivant le transfert de ces données à l’UIP.
Troisièmement, s’agissant du délai de conservation des données PNR, la Cour juge que l’article 12 de la directive PNR, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, s’oppose à une législation nationale qui prévoit une durée générale de conservation de ces données de cinq ans, applicable indifféremment à tous les passagers aériens.
En effet, selon la Cour, après l’expiration de la période de conservation initiale de six mois, la conservation des données PNR n’apparaît pas limitée au strict nécessaire en ce qui concerne les passagers aériens pour lesquels ni l’évaluation préalable, ni les éventuelles vérifications effectuées au cours de la période de conservation initiale de six mois, ni aucune autre circonstance n’ont révélé l’existence d’éléments objectifs – tels que le fait que les données PNR des passagers concernés ont donné lieu à une concordance positive vérifiée dans le cadre de l’évaluation préalable – de nature à établir un risque en matière d’infractions terroristes ou de formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le voyage aérien effectué par ces passagers. En revanche, elle estime que, au cours de la période initiale de six mois, la conservation des données PNR de l’ensemble des passagers aériens soumis au système instauré par cette directive ne paraît pas, par principe, excéder les limites du strict nécessaire.
Quatrièmement, la Cour fournit des indications concernant une éventuelle application de la directive PNR, aux fins de la lutte contre les infractions terroristes et les formes graves de criminalité, à d’autres modes de transport acheminant des passagers dans l’Union. Or, la directive, lue à la lumière de l’article 3, paragraphe 2, TUE, de l’article 67, paragraphe 2, TFUE et de l’article 45 de la Charte, s’oppose à un système de transfert et de traitement des données PNR de l’ensemble des transports effectués par d’autres moyens à l’intérieur de l’Union en l’absence de menace terroriste réelle et actuelle ou prévisible à laquelle fait face l’État membre concerné. Dans une telle situation, comme pour les vols intra-UE, l’application du système établi par la directive PNR doit être limitée aux données PNR des transports relatifs notamment à certaines liaisons ou à des schémas de voyage ou encore à certaines gares ou certains ports maritimes pour lesquels il existe des indications de nature à justifier cette application. Il appartient à l’État membre concerné de sélectionner les transports pour lesquels de telles indications existent et de réexaminer régulièrement cette application en fonction de l’évolution des conditions ayant justifié leur sélection.