CONCLUZIILE AVOCATULUI GENERAL
PAOLO MENGOZZI
prezentate la 8 septembrie 2016(1)
Avizul 1/15
[cerere de aviz formulată de Parlamentul European]
„Cerere de aviz – Admisibilitate – Proiect de acord între Canada și Uniunea Europeană referitor la transferul și prelucrarea datelor din registrul cu numele pasagerilor – Date din registrul cu numele pasagerilor [Passenger Name Record (PNR)] – Compatibilitatea acestui proiect de acord cu articolul 16 TFUE și cu articolele 7, 8 și cu articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene – Temei juridic”
Cuprins
I – Introducere
II – Cadrul juridic
III – Istoricul acordului preconizat
IV – Procedura în fața Curții
V – Cu privire la admisibilitatea cererii de aviz
VI – Cu privire la temeiul juridic adecvat al actului de încheiere a acordului preconizat (a doua întrebare)
A – Sinteza argumentelor Parlamentului și ale celorlalte părți interesate
B – Analiză
1. Cu privire la finalitatea și la conținutul acordului preconizat
2. Cu privire la temeiul juridic adecvat
a) Cu privire la pertinența articolului 82 alineatul (1) litera (d) și a articolului 87 alineatul (2) litera (a) TFUE
b) Cu privire la necesitatea de a întemeia actul de încheiere a acordului preconizat pe articolul 16 alineatul (2) primul paragraf TFUE
VII – Cu privire la compatibilitatea acordului preconizat cu dispozițiile Tratatului FUE și ale cartei (prima întrebare)
A – Sinteza cererii și a observațiilor Parlamentului, precum și a observațiilor celorlalte părți interesate
1. Sinteza cererii și a observațiilor Parlamentului
2. Sinteza observațiilor celorlalte părți interesate
B – Analiză
1. Observații introductive
2. Cu privire la existența unei ingerințe în drepturile garantate de articolele 7 și 8 din cartă
3. Cu privire la justificarea ingerinței în drepturile garantate de articolele 7 și 8 din cartă
a) O ingerință „prevăzută de lege”, în sensul articolului 52 alineatul (1) din cartă
b) O ingerință care răspunde unui obiectiv de interes general
c) Cu privire la proporționalitatea ingerinței pe care o implică acordul preconizat
i) Considerații generale
ii) Cu privire la posibilitatea ingerinței de a realiza obiectivul de siguranță publică urmărit de acordul preconizat
iii) Cu privire la caracterul strict necesar al ingerinței
– Cu privire la categoriile de date PNR vizate de acordul preconizat
– Cu privire la caracterul suficient de precis al finalității pentru care este autorizată prelucrarea de date PNR
– Cu privire la domeniul de aplicare personal al acordului preconizat
– Cu privire la identificarea autorității competente însărcinate cu prelucrarea datelor PNR
– Cu privire la prelucrarea automată a datelor PNR
– Cu privire la accesul la datele PNR
– Cu privire la păstrarea datelor PNR
– Cu privire la divulgarea și transferul ulterior de date PNR
– Cu privire la măsurile de supraveghere și de control administrativ și jurisdicțional
VIII – Concluzie
I – Introducere
1. În temeiul articolului 218 alineatul (11) TFUE, Parlamentul European a sesizat Curtea cu o cerere de aviz privind acordul preconizat dintre Canada și Uniunea Europeană referitor la transferul și prelucrarea datelor din registrul cu numele pasagerilor (denumit în continuare „acordul preconizat”), pentru a‑i permite să dea curs solicitării Consiliului Uniunii Europene, din luna iulie 2014, adresată Parlamentului de a aproba propunerea de decizie privind încheierea acordului preconizat(2).
2. Prezentat în mod schematic, acordul preconizat prevede că datele din registrul cu numele pasagerilor (Passenger Name Record, denumite în continuare „date PNR”), care sunt colectate de transportatorii aerieni de la pasageri în scopul rezervării zborurilor dintre Canada și Uniunea Europeană, sunt transferate autorităților canadiene competente, apoi prelucrate și utilizate de acestea din urmă în scopul prevenirii și depistării infracțiunilor de terorism sau a altor infracțiuni transnaționale grave, stabilind totodată anumite garanții în ceea ce privește respectarea vieții private și a protecției datelor cu caracter personal ale pasagerilor.
3. Cererea de aviz, care privește atât compatibilitatea acordului preconizat cu dreptul primar al Uniunii, cât și temeiul juridic adecvat al deciziei Consiliului prin se va încheia acordului preconizat, are următorul cuprins:
„Acordul avut în vedere este compatibil cu dispozițiile tratatelor (articolul 16 TFUE) și cu Carta drepturilor fundamentale a Uniunii Europene [articolele 7 și 8 și articolul 52 alineatul (1)] în ceea ce privește dreptul persoanelor fizice la protecția datelor cu caracter personal?
Articolul 82 alineatul (1) litera (d) TFUE și articolul 87 alineatul (2) litera (a) TFUE constituie temeiul juridic adecvat al actului Consiliului privind încheierea acordului avut în vedere sau acest act trebuie să se întemeieze pe articolul 16 TFUE?”
4. Independent de conținutul său, răspunsul pe care îl va da Curtea la această cerere va avea în mod necesar implicații asupra acordurilor denumite PNR, deja în vigoare, încheiate între Uniunea Europeană și Australia(3) și Statele Unite ale Americii(4), precum și asupra viitorului „sistem PNR”, instituit chiar în cadrul Uniunii, care a fost aprobat recent de Parlament, în timp ce prezenta procedură era încă în curs(5).
5. Prezenta cerere de aviz necesită examinarea unor probleme atât inedite, cât și delicate.
6. Din perspectiva stabilirii temeiului juridic adecvat al actului privind încheierea acordului preconizat, această cerere trebuie să determine în special Curtea să examineze pentru prima dată domeniul de aplicare al articolului 16 alineatul (2) TFUE, care a fost introdus în urma adoptării Tratatului de la Lisabona, precum și coroborarea acestui articol cu dispozițiile tratatului referitoare la spațiul de libertate, securitate și justiție (denumit în continuare „SLSJ”). În această privință, astfel cum vom demonstra în prezentele concluzii(6), acordul preconizat urmărește obiective și are un conținut interdependent, astfel încât actul privind încheierea acestui acord trebuie să se întemeieze, în opinia noastră, atât pe articolul 16 TFUE, cât și pe articolul 87 alineatul (2) litera (a) TFUE.
7. De asemenea, este prima dată când Curtea va trebui să se pronunțe cu privire la compatibilitatea unui proiect de acord internațional cu drepturile fundamentale consacrate de Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), în mod specific cele referitoare la respectarea vieții private și de familie, garantat de articolul 7 din aceasta, și la protecția datelor cu caracter personal, asigurată de articolul 8. Examinarea acestei probleme beneficiază în mod incontestabil de învățămintele prețioase deduse din Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), precum și din Hotărârea din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650). Întrucât acest aspect va fi amplu explicat, considerăm că este într‑adevăr necesar să se urmeze calea trasată de aceste hotărâri și să se supună acordul preconizat unui control strict privind respectarea cerințelor prevăzute de articolele 7, 8 și de articolul 52 alineatul (1) din cartă. Nu este mai puțin adevărat că trebuie să se aibă în vedere faptul că proiectul de acord cu care Curtea este sesizată reprezintă consecința unei negocieri internaționale cu o țară terță, care, în lipsa unui acord satisfăcător, va putea să renunțe la încheierea acordului preconizat și va prefera, astfel cum este cazul în prezent, aplicarea utilaterală a sistemului său PNR în cazul transportatorilor aerieni stabiliți în Uniune și care asigură legături cu Canada.
8. Această constatare nu înseamnă că Curtea trebuie să reducă gradul de vigilență de care a dat dovadă în ceea ce privește respectarea drepturilor fundamentale protejate în dreptul Uniunii. Este astfel necesar ca, într‑o perioadă în care tehnologiile moderne permit autorităților publice, în numele combaterii terorismului și criminalității transnaționale grave, să dezvolte metode extrem de sofisticate de supraveghere a vieții private a indivizilor și de analiză a datelor lor cu caracter personal, Curtea să se asigure că măsurile prevăzute, și sub forma unor acorduri internaționale preconizate, reflectă un just echilibru între preocuparea legitimă de a păstra siguranța publică și preocuparea, nu mai puțin fundamentală, ca orice persoană să poată beneficia de un nivel ridicat de protecție a vieții sale private și a propriilor sale date.
9. Astfel cum vor ilustra afirmațiile noastre ulterioare, nu se poate contesta că părțile contractante au încercat, uneori în mod insuficient, să efectueze o evaluare comparativă a acestor două obiective care sunt în mod indisociabil urmărite de acordul preconizat. Acest efort trebuie să fie, în opinia noastră, salutat. Cu toate acestea, fără a repune în discuție obiectul sau necesitatea acordului preconizat, considerăm, astfel cum vor demonstra prezentele concluzii, că, pentru a fi compatibil cu articolele 7, 8 și cu articolul 52 alineatul (1) din cartă, acordul preconizat va trebui să fie actualizat și/sau va fi necesar să se elimine unele dintre prevederile sale actuale astfel încât să nu depășească ceea ce este strict necesar pentru realizarea obiectivului său de securitate.
II – Cadrul juridic
10. Articolul 16 TFUE prevede următoarele:
„(1) Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.
(2) Parlamentul European și Consiliul, hotărând în conformitate cu procedura legislativă ordinară, stabilesc normele privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii, precum și de către statele membre în exercitarea activităților care fac parte din domeniul de aplicare al dreptului Uniunii, precum și normele privind libera circulație a acestor date. Respectarea acestor norme face obiectul controlului unor autorități independente.
[…]”
11. Articolul 82 TFUE, care figurează în capitolul 4 din titlul V din partea a treia din tratatul menționat, capitol intitulat „Cooperarea judiciară în materie penală”, prevede:
„(1) Cooperarea judiciară în materie penală în cadrul Uniunii se întemeiază pe principiul recunoașterii reciproce a hotărârilor judecătorești și a deciziilor judiciare și include apropierea actelor cu putere de lege și a normelor administrative ale statelor membre în domeniile prevăzute la alineatul (2) […]
Parlamentul European și Consiliul, hotărând în conformitate cu procedura legislativă ordinară, adoptă măsurile privind:
[…]
(d) facilitarea cooperării dintre autoritățile judiciare sau echivalente ale statelor membre în materie de urmărire penală și executare a deciziilor.
[…]”
12. Articolul 87 TFUE, care face parte din capitolul 5 din titlul V din partea a treia din tratatul menționat, capitol intitulat „Cooperarea polițienească”, are următorul cuprins:
„(1) Uniunea instituie o cooperare polițienească care implică toate autoritățile competente din statele membre, inclusiv serviciile de poliție, serviciile vamale și alte servicii specializate de aplicare a legii, în domeniul prevenirii sau al depistării și al cercetării infracțiunilor.
(2) În înțelesul alineatului (1), Parlamentul European și Consiliul, hotărând în conformitate cu procedura legislativă ordinară, pot stabili măsuri referitoare la:
(a) colectarea, stocarea, prelucrarea și analizarea informațiilor în domeniu, precum și schimbul de informații;
[…]”
13. Articolul 7 din cartă prevede:
„Orice persoană are dreptul la respectarea vieții private și de familie, a domiciliului și a secretului comunicațiilor.”
14. Articolul 8 din cartă afirmă:
„(1) Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.
(2) Asemenea date trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege. Orice persoană are dreptul de acces la datele colectate care o privesc, precum și dreptul de a obține rectificarea acestora.
(3) Respectarea acestor norme se supune controlului unei autorități independente.”
15. Articolul 52 din cartă, intitulat „Întinderea și interpretarea drepturilor și principiilor”, prevede:
„(1) Orice restrângere a exercițiului drepturilor și libertăților recunoscute prin prezenta cartă trebuie să fie prevăzută de lege și să respecte substanța acestor drepturi și libertăți. Prin respectarea principiului proporționalității, pot fi impuse restrângeri numai în cazul în care acestea sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți.
[…]”
16. Protocolul (nr. 21) privind poziția Regatului Unit și a Irlandei cu privire la spațiul de libertate, securitate și justiție prevede la articolele 1, 3 și 6a după cum urmează:
„Articolul 1
Sub rezerva articolului 3, Regatul Unit și Irlanda nu participă la adoptarea de către Consiliu a măsurilor propuse care intră sub incidența părții a treia titlul V din [TFUE]. Pentru deciziile pe care Consiliul trebuie să le adopte în unanimitate este necesară unanimitatea membrilor Consiliului, cu excepția reprezentanților guvernelor Regatului Unit și Irlandei.
În înțelesul prezentului articol, majoritatea calificată se definește în conformitate cu articolul 238 alineatul (3) [TFUE].
[…]
Articolul 3
(1) Regatul Unit sau Irlanda pot să notifice în scris președintelui Consiliului, în termen de trei luni de la prezentarea către Consiliu a unei propuneri sau a unei inițiative în temeiul părții a treia titlul V din [Tratatul FUE], intenția sa de a participa la adoptarea și la aplicarea măsurii propuse, în urma căreia statul respectiv este îndreptățit la aceasta.
[…]
Articolul 6a
Regatul Unit sau Irlanda nu va fi obligată să aplice normele stabilite în temeiul articolului 16 [TFUE] referitoare la prelucrarea datelor cu caracter personal de către statele membre în exercitarea activităților aflate sub incidența domeniului de aplicare a părții a treia titlul V capitolul 4 sau 5 din tratatul menționat, atât timp cât Regatul Unit sau Irlanda nu este obligată să aplice normele Uniunii privind formele de cooperare judiciară în materie penală sau de cooperare polițienească care necesită respectarea dispozițiilor stabilite în temeiul articolului 16.”
17. Protocolul (nr. 22) privind poziția Danemarcei prevede, la articolele 1, 2 și 2a, după cum urmează:
„Articolul 1
Danemarca nu participă la adoptarea de către Consiliu a măsurilor propuse care intră sub incidența părții a treia titlul V din [Tratatul FUE]. Pentru deciziile pe care Consiliul trebuie să le adopte în unanimitate este necesară unanimitatea membrilor Consiliului, cu excepția reprezentantului guvernului Danemarcei.
În înțelesul prezentului articol, majoritatea calificată se definește în conformitate cu articolul 238 alineatul (3) [TFUE].
Articolul 2
Niciuna dintre dispozițiile părții a treia titlul V din [TFUE], nicio măsură adoptată în conformitate cu titlul menționat, nicio dispoziție a unui acord internațional încheiat de Uniune în conformitate cu titlul menționat și nicio decizie a Curții de Justiție a Uniunii Europene de interpretare a oricărei astfel de dispoziții sau măsuri sau a oricărei măsuri modificate sau modificabile în conformitate cu titlul menționat nu este obligatorie pentru Danemarca și nu se aplică în Danemarca. Respectivele dispoziții, măsuri sau decizii nu aduc în niciun fel atingere competențelor, drepturilor și obligațiilor Danemarcei. Respectivele dispoziții, măsuri sau decizii nu modifică în niciun fel acquis‑ul comunitar și nici pe cel al Uniunii și nu fac parte din dreptul Uniunii în forma în care se aplică Danemarcei. […]
Articolul 2a
Articolul 2 din prezentul protocol se aplică, de asemenea, în privința acelor norme stabilite în temeiul articolului 16 [TFUE] referitor la prelucrarea datelor cu caracter personal de către statele membre în exercitarea activităților care intră sub incidența domeniului de aplicare al părții a treia titlul V capitolul 4 sau 5 din tratatul menționat.”
III – Istoricul acordului preconizat
18. La 18 iulie 2005, Consiliul a aprobat Acordul dintre Comunitatea Europeană și guvernul canadian privind prelucrarea informațiilor prealabile referitoare la pasageri și la dosarele pasagerilor (denumit în continuare „Acordul din 2006”)(7).
19. În conformitate cu preambulul său, Acordul din 2006 a fost încheiat având în vedere obligația impusă de guvernul Canadei transportatorilor aerieni care transportă pasageri spre Canada de a furniza autorităților canadiene competente date privind informațiile prealabile referitoare la pasageri și la dosarele pasagerilor (denumite în continuare „datele API/PNR”), în măsura în care ele sunt colectate și stocate în sistemelor lor de rezervare informatizată și în sistemele de control al plecărilor.
20. Potrivit articolului 1 din Acordul din 2006, scopul acestuia era „acela de a asigura că datele API/PNR ale persoanelor care efectuează călătorii eligibile sunt furnizate respectându‑se pe deplin drepturile și libertățile fundamentale, în special dreptul la respectarea vieții private”. Autoritatea competentă pentru Canada era, în conformitate cu anexa I la Acordul din 2006, „Agenția pentru Servicii Frontaliere a Canadei (ASFC)”.
21. Având în vedere acest angajament, Comisia Europeană a adoptat, în temeiul articolului 25 alineatul (2) din Directiva 95/46/CE(8), Decizia 2006/253/CE(9), al cărei articol 1 prevedea că se considera că ASFC asigură un nivel adecvat de protecție a datelor PNR transferate din Comunitatea Europeană privind zborurile care au drept destinație Canada. Întrucât Decizia 2006/253 a expirat în septembrie 2009(10) și perioada de valabilitate a Acordului din 2006 este legată de cea a acestei decizii(11), și acordul menționat a expirat, așadar, în luna septembrie 2009.
22. La 5 mai 2010, Parlamentul a adoptat o rezoluție referitoare la lansarea negocierilor pentru acordurile privind datele din registrul cu numele pasagerilor (PNR) cu Statele Unite ale Americii, Australia și Canada(12). În această rezoluție, Parlamentul solicita printre altele o abordare mai coerentă în ceea ce privește utilizarea datelor PNR în scopul aplicării legii și din motive de securitate, prin instituirea unui unic ansamblu de principii care să fie folosite ca bază pentru acordurile cu țările terțe. În această privință, Parlamentul invita Comisia să prezinte o propunere privind un model unic și un proiect de mandat pentru negocierile cu țările terțe, enunțând totodată condițiile minime care trebuie să fie îndeplinite(13).
23. La 21 septembrie 2010, Comisia a adoptat trei propuneri prin care se urmărea autorizarea inițierii negocierilor cu Statele Unite, Australia și Canada(14). Ulterior, au fost semnate și încheiate acordurile cu Statele Unite și Australia cu aprobarea Parlamentului(15). Aceste acorduri au intrat în vigoare în 2012.
24. După încheierea negocierilor cu Canada, Comisia a adoptat, la 19 iulie 2013, propunerile de decizii ale Consiliului referitoare la semnarea și la încheierea acordului preconizat.
25. Autoritatea Europeană pentru Protecția Datelor (denumită în continuare „AEPD”) a emis un aviz cu privire la aceste propuneri la 30 septembrie 2013(16). În acest aviz, AEPD a ridicat o serie de întrebări în ceea ce privește necesitatea și proporționalitatea sistemelor PNR și transferul masiv de date PNR către țări terțe, a pus la îndoială alegerea temeiului juridic material și a formulat diverse observații și propuneri în ceea ce privește diferitele dispoziții ale acordului preconizat.
26. La 5 decembrie 2013, Consiliul a adoptat o decizie referitoare la semnarea acordului preconizat fără ca acestuia din urmă să îi fi fost aduse modificări în urma avizului AEPD. Acordul preconizat a fost semnat la 25 iunie 2014, sub rezerva încheierii sale la o dată ulterioară.
27. Prin scrisoarea din 7 iulie 2014, Consiliul a solicitat aprobarea Parlamentului cu privire la propunerea de decizie referitoare la încheierea, în numele Uniunii, a acordului preconizat. Această propunere de decizie are în vedere ca temeiuri juridice articolul 82 alineatul (1) litera (d) și articolul 87 alineatul (2) litera (a) TFUE coroborate cu articolul 218 alineatul (6) litera (a) punctul (v) TFUE.
28. La 25 noiembrie 2014, Parlamentul European a decis să sesizeze Curtea cu privire la prezentul aviz, care cuprinde întrebările reproduse la punctul 3 din prezentele concluzii.
IV – Procedura în fața Curții
29. În urma depunerii cererii de către Parlament, guvernele bulgar, eston, al Irlandei, guvernele spaniol, francez și al Regatului Unit, precum și Consiliul și Comisia au depus observații scrise.
30. Curtea a adresat o serie de întrebări cu răspuns scris privind în special anumite aspecte practice și factuale ale prelucrării datelor PNR, temeiul juridic al acordului preconizat, domeniul de aplicare teritorial al acestuia, precum și compatibilitatea prevederilor acordului respectiv cu dispozițiile TFUE și ale cartei, în lumina concluziilor deduse din jurisprudență, în special din Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), precum și din Hotărârea din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650). În plus, în temeiul articolului 24 al doilea paragraf din Statutul Curții de Justiție a Uniunii Europene, Curtea a invitat AEPD să răspundă la întrebările respective. Aceasta din urmă, precum și Irlanda, guvernele spaniol, francez și al Regatului Unit, Parlamentul, Consiliul și Comisia au răspuns la întrebările adresate în termenul acordat.
31. Reprezentanții guvernului eston, al Irlandei, ai guvernelor spaniol, francez și al Regatului Unit, cei ai Parlamentului, ai Consiliului și ai Comisiei, precum și cel al AEPD au fost ascultați în ședința care a avut loc la 5 aprilie 2016.
V – Cu privire la admisibilitatea cererii de aviz
32. În timp ce guvernele bulgar și eston, precum și Comisia sunt de acord cu aprecierea Parlamentului potrivit căreia cererea de aviz este admisibilă în totalitate, guvernul francez și Consiliul ridică problema admisibilității celei de a doua întrebări care figurează în cererea Parlamentului și care privește temeiul juridic adecvat al propunerii de decizie a Consiliului privind încheierea acordului preconizat.
33. În esență, guvernul francez și Consiliul arată că această întrebare nu privește nici competența Uniunii de a încheia acordul preconizat, nici repartizarea competențelor între aceasta din urmă și statele membre. Pe de altă parte, acestea susțin că recurgerea eventuală eronată la articolele 82 și 87 TFUE nu ar avea nicio incidență asupra procedurii care trebuie urmată pentru adoptarea actului Consiliului privind încheierea acordului preconizat. Astfel, atât aplicarea articolului 16 TFUE, cât și aplicarea articolelor 82 și 87 TFUE ar necesita respectarea procedurii legislative ordinare, în special aprobarea Parlamentului, în temeiul articolului 218 alineatul (6) litera (a) punctul (v) TFUE.
34. Propunem Curții să declare cererea de aviz admisibilă în totalitate.
35. În general, este necesar să se amintească mai întâi că, potrivit articolului 218 alineatul (11) TFUE și jurisprudenței Curții, avizul acesteia poate fi solicitat cu privire la aspectul dacă un „acord preconizat”(17) este compatibil cu normele de fond ale tratatelor sau cu cele care stabilesc întinderea competențelor Uniunii și ale instituțiilor sale, inclusiv aspectele care privesc repartizarea competențelor între Uniune și statele membre pentru a încheia un acord determinat cu state terțe(18), astfel cum confirmă articolul 196 alineatul (2) din Regulamentul de procedură al Curții.
36. Prin urmare, nu se poate contesta, ceea ce admit de altfel toate părțile interesate, că cererea de aviz este admisibilă(19), în măsura în care privește compatibilitatea acordului preconizat cu dispozițiile de drept material ale dreptului primar al Uniunii, inclusiv dispozițiile cartei, care au aceeași valoare juridică ca și tratatele.
37. Considerăm că aceasta este situația și în ceea ce privește cea de a doua întrebare, privind stabilirea temeiului juridic adecvat al actului prin care Consiliul este chemat să încheie acordul preconizat.
38. Desigur, astfel cum au arătat guvernul francez și Consiliul, niciuna dintre părțile interesate nu are îndoieli că, în speță, Uniunea dispune de competența de a aproba acordul preconizat, problemă care nu face de altfel obiectul cererii de aviz.
39. Cu toate acestea, trebuie să se arate că, în cadrul examinării cererilor de aviz anterioare, Curtea a acceptat deja să răspundă la problema alegerii temeiului juridic adecvat al actului de încheiere a proiectelor de acord în discuție(20). Această poziție a fost în esență motivată de două considerente esențiale care sunt strâns legate.
40. Pe de o parte, alegerea temeiului juridic adecvat al actului de încheiere a unui acord internațional prezintă „o importanță de natură constituțională”(21), întrucât Uniunea nu dispune decât de competențe atribuite și, prin urmare, trebuie să poată asocia acordurile internaționale care urmează să intre în ordinea sa juridică unei dispoziții din tratate care o autorizează să aprobe aceste acte. Recurgerea la un temei juridic eronat este, așadar, susceptibilă să invalideze însuși actul de încheiere și, prin urmare, să vicieze consimțământul Uniunii de a fi ținută de acordul în discuție(22).
41. Pe de altă parte, neutilizarea ocaziei de a examina alegerea temeiului juridic adecvat al actului privind încheierea unui proiect de acord în cadrul procedurii de sesizare prealabilă a Curții ar putea conduce, în definitiv, la complicații, atât la nivelul Uniunii, cât și în ordinea juridică internațională, în cazul în care actul de încheiere a acordului ar urma să fie invalidat ulterior ca urmare a erorii privind temeiul juridic. Or, scopul procedurii preventive prevăzute la articolul 218 alineatul (11) TFUE este tocmai acela de a evita ca astfel de complicații să poată apărea în interesul părților contractante(23).
42. Fără a nega existența acestei jurisprudențe, guvernul francez și Consiliul susțin în esență că niciuna dintre complicațiile juridice evocate de Curte în avizele sale anterioare nu ar putea apărea în prezenta cauză. Astfel, potrivit acestor părți interesate, în speță, eventuala alegere a articolului 16 TFUE ca temei juridic material al acordului preconizat, astfel cum susține Parlamentul în cererea sa de aviz, nu ar aduce atingere repartizării competențelor între Uniune și statele membre și nici nu ar conduce la o „procedură legislativă diferită” de cea urmată de Consiliu și de Comisie în speță, în sensul avizelor menționate.
43. Această argumentare nu reușește să ne convingă.
44. Trebuie să se arate că situațiile subliniate de Curte la punctul 5 din Avizul 2/00 din 6 decembrie 2001 (EU:C:2001:664) și, respectiv, la punctul 110 din Avizul 1/08 din 30 noiembrie 2009 (EU:C:2009:739) constituie doar exemple în care recurgerea la un temei juridic eronat poate vicia consimțământul Uniunii de a fi ținută de acordul la care a subscris sau poate genera dificultăți juridice pe plan intern sau pe planul relațiilor externe ale Uniunii. Astfel, cele două situații menționate la aceste puncte din cele două avize – și anume, pe de o parte, situația în care Uniunea s‑ar fi angajat fără ca tratatul să îi confere o competență suficientă pentru a ratifica un acord în ansamblu, ceea ce ar implica examinarea repartizării competențelor între Uniune și statele membre, și, pe de altă parte, situația în care temeiul juridic adecvat al actului încheierii ar prevedea o procedură legislativă diferită de cea care a fost efectiv urmată de instituții – au fost introduse prin expresia „aceasta este situația în special în cazul în care”. Alte situații care generează dificultăți juridice pe planul intern al Uniunii sau pe cel al relațiilor internaționale nu pot fi, așadar, excluse.
45. În continuare, nu trebuie să se piardă din vedere faptul că procedura de aviz are un caracter necontencios și preventiv(24). Acest caracter justifică, în opinia noastră, o anumită flexibilitate din partea Curții în ceea ce privește examinarea admisibilității unei chestiuni aferente temeiului juridic adecvat al actului privind încheierea unui acord preconizat.
46. Astfel, în stadiul admisibilității, considerăm că Curtea trebuie să își pună, pur și simplu, problema dacă, prin refuzul de a răspunde la întrebarea adresată, există un risc serios ca actul de încheiere a acordului să poată fi ulterior invalidat, întemeiat pe un motiv identic cu cel evocat în cererea de aviz, această situație generând dificultăți pe planul intern al Uniunii sau pe planul relațiilor externe pe care procedura de aviz le‑ar fi putut preveni.
47. În speță, considerăm că un astfel de risc nu poate fi înlăturat.
48. Astfel, după cum vom examina în continuare în prezentele concluzii, motivele dezvoltate de Parlament în susținerea tezei potrivit căreia articolul 16 TFUE constituie temeiul juridic material adecvat al actului de încheiere a acordului preconizat sunt foarte serioase, astfel încât le considerăm ca fiind fondate în parte.
49. Prin urmare, refuzul de a răspunde la aceste argumente în prezenta procedură ar putea determina Parlamentul să atace validitatea actului de încheiere a acordului sau, după caz, o instanță națională, sesizată cu o acțiune de un particular lezat de transferul de date PNR către autoritatea canadiană competentă, să adreseze Curții o trimitere preliminară privind validitatea acordului și a actului său de încheiere.
50. Pe de altă parte, în opinia noastră, guvernul francez și Consiliul minimizează în mod greșit consecințele unei declarații de invaliditate a actului de încheiere a acordului preconizat în cazul în care s‑ar dovedi în definitiv că, în urma unei acțiuni în anulare sau a unei trimiteri preliminare în validitate, acest act ar fi trebuit să fie adoptat, astfel cum susține Parlamentul, având ca unic temei juridic articolul 16 TFUE.
51. Astfel, după cum vom reveni ulterior și după cum s‑a arătat în anumite observații scrise, reținerea articolului 16 TFUE ca unic temei juridic al actului de încheiere a acordului preconizat ar modifica statutul Regatului Danemarcei, al Irlandei, al Regatului Unit al Marii Britanii și Irlandei de Nord, acordul fiind obligatoriu în mod direct și automat pentru aceste state membre, contrar celor prevăzute la articolul 29 din acordul preconizat. În ceea ce privește în special Regatul Danemarcei, orice angajament internațional care ar fi încheiat eventual cu Canada, în paralel cu acordul preconizat, ar fi ilegal, întrucât statul membru respectiv nu ar mai dispune de competența necesară pentru a prevedea un asemenea angajament.
52. Ne pare, așadar, că, păstrând proporțiile, prin analogie cu ceea ce Curtea a reținut la punctul 47 din Avizul 1/13 din 14 octombrie 2014 (EU:C:2014:2303), este deosebit de adecvat ca Curtea să răspundă la cea de a doua întrebare a prezentei cereri de aviz în special pentru a evita complicațiile juridice care ar putea fi generate de situațiile în care un stat membru ar subscrie la angajamente internaționale fără autorizarea necesară, în condițiile în care nu ar mai dispune, în raport cu dreptul Uniunii, de competența legislativă necesară pentru a subscrie sau pentru a pune în aplicare un asemenea angajament.
53. Prin urmare, propunem Curții să declare admisibilă cea de a doua întrebare adresată de Parlament în cererea sa de aviz.
54. Pe de altă parte, deoarece această întrebare privește validitatea formală a actului încheierii și necesită analizarea obiectivelor și a conținutului acordului preconizat, propunem examinarea acesteia înaintea întrebării referitoare la compatibilitatea acordului cu dispozițiile Tratatului FUE și cu drepturile consacrate de cartă.
VI – Cu privire la temeiul juridic adecvat al actului de încheiere a acordului preconizat (a doua întrebare)
A – Sinteza argumentelor Parlamentului și ale celorlalte părți interesate
55. Parlamentul, precum și toate părțile interesate care au depus observații sunt de acord să considere că, potrivit jurisprudenței Curții, alegerea temeiului juridic trebuie să se întemeieze pe criterii obiective care pot face obiectul unui control jurisdicțional, criterii obiective printre care figurează finalitatea și conținutul actului în discuție.
56. Parlamentul subliniază că acordul preconizat urmărește două obiective care sunt enumerate la articolul 1 din acesta. Cu toate acestea, obiectivul principal al acordului preconizat ar fi acela de a asigura protecția datelor cu caracter personal. Astfel, potrivit Parlamentului, acordul preconizat ar avea un efect analog cu cel al unei „decizii privind caracterul adecvat al nivelului de protecție”, iar scopul său ar fi de a înlocui Decizia 2006/253 a Comisiei, adoptată în temeiul articolului 25 alineatul (6) din Directiva 95/46, în care această instituție a constatat, în contextul Acordului din 2006, nivelul de protecție adecvat al datelor PNR transferate către ASFC. În plus, acordul preconizat nu ar urmări să creeze o obligație pentru transportatorii aerieni de a transfera date PNR autorităților polițienești canadiene sau europene, ceea ce ar face dificilă justificarea alegerii articolului 82 alineatul (1) litera (d) și a articolului 87 alineatul (2) litera (a) TFUE ca temeiuri juridice materiale. Potrivit jurisprudenței, aceste constatări ar justifica, în opinia Parlamentului, ca acordul preconizat să se întemeieze pe temeiul juridic corespunzător obiectivului principal al acordului preconizat, și anume, în speță, articolul 16 TFUE. Conținutul acordului preconizat ar confirma această apreciere. În sfârșit, Parlamentul precizează că articolul 16 TFUE permite adoptarea normelor referitoare la protecția datelor cu caracter personal în toate domeniile de aplicare ale dreptului Uniunii, inclusiv cel privind „[SLSJ]”.
57. Ca răspuns la o întrebare adresată în ședința în fața Curții, Parlamentul a indicat, în ipoteza în care Curtea ar trebui să considere că acordul preconizat urmărește obiective indisociabile, că nu vedea nicio obiecție ca actul de încheiere a acordului preconizat să se întemeieze pe articolul 16, pe articolul 82 alineatul (1) litera (d) și pe articolul 87 alineatul (2) litera (a) TFUE.
58. Cu excepția guvernului spaniol și a AEPD, precum și, în subsidiar, a guvernului francez, celelalte părți interesate susțin că finalitatea acordului preconizat ar fi combaterea terorismului și a criminalității transnaționale grave, protecția datelor constituind în esență numai un instrument prin intermediul căruia această finalitate ar putea fi atinsă. În această privință, Comisia amintește că, în Hotărârea din 30 mai 2006, Parlamentul/Consiliul și Comisia (C‑317/04 și C‑318/04, EU:C:2006:346, punctul 56), Curtea a decis că transferul de date PNR către Statele Unite constituia o prelucrare având ca obiect siguranța publică și activitățile statelor membre referitoare la domenii de drept penal. Or, alegerea temeiul juridic al actului de încheiere a acordului preconizat ar trebui să fie efectuată cu respectarea acestei logici.
59. Marea majoritate a acestor părți interesate adaugă că, în cazul în care ar trebui să se considere că protecția datelor constituie un obiectiv al acordului preconizat, acest obiectiv ar fi doar accesoriu în raport cu obiectivul principal, ceea ce, prin urmare, nu ar implica nicio consecință asupra opțiunii actuale privind temeiul juridic al actului de încheiere. În această privință, Consiliul și Comisia precizează că acte care au drept obiectiv realizarea politicilor sectoriale care necesită unele prelucrări de datelor cu caracter personal ar trebui să fie fondate pe temeiul juridic corespunzător politicii în cauză, iar nu pe articolul 16 TFUE.
60. În ceea ce privește posibilitatea de a cumula articolul 16, articolul 82 alineatul (1) litera (d) și articolul 87 alineatul (2) litera (a) TFUE ca temeiuri juridice materiale ale actului de încheiere a acordului preconizat, guvernul francez susține, în subsidiar, în observațiile sale scrise, că un astfel de cumul este cu totul posibil. În schimb, Irlanda și Consiliul susțin contrariul. În ședința în fața Curții, Consiliul a precizat că procedura de vot în cadrul Consiliului, astfel cum ar rezulta din dispozițiile Protocoalelor (nr. 21) și (nr. 22), s‑ar opune unei asemenea ipoteze.
B – Analiză
61. Potrivit unei jurisprudențe constante, alegerea temeiului juridic al unui act al Uniunii, inclusiv cel adoptat în vederea încheierii unui acord internațional, trebuie fondată pe elemente obiective, care pot fi supuse controlului jurisdicțional, printre care figurează în special scopul și conținutul acestui act. Dacă, prin analizarea unui act al Uniunii, se dovedește că acesta din urmă urmărește o dublă finalitate sau că are o componentă dublă și dacă una dintre acestea poate fi identificată ca principală sau preponderentă, iar cealaltă nu este decât accesorie, actul trebuie să aibă un temei juridic unic, și anume temeiul impus de finalitatea sau de componenta principală sau preponderentă(25).
62. Curtea admite totuși, „în mod excepțional”, că un act poate fi adoptat, în mod cumulat, pe baza diferitor temeiuri juridice corespunzătoare pluralității obiectivelor sau componentelor acestui act atunci când aceste obiective sau aceste componente sunt legate în mod indisociabil, fără ca vreuna să fie accesorie în raport cu alta(26). Într‑o asemenea situație, Curtea verifică și dacă utilizarea mai multor temeiuri juridice poate fi exclusă pentru motivul că procedurile prevăzute pentru diferitele temeiuri juridice în cauză sunt incompatibile între ele(27).
63. În lumina acestei jurisprudențe, trebuie să se stabilească dacă, în raport cu finalitatea și conținutul acordului preconizat, actul de încheiere a acestui acord ar trebui să se întemeieze exclusiv pe articolul 82 alineatul (1) litera (d) și pe articolul 87 alineatul (2) litera (a) TFUE, ca temeiuri juridice materiale, astfel cum indică proiectul de decizie al Consiliului și astfel cum susțin majoritatea părților interesate, sau dacă ar trebui să se întemeieze pe articolul 16 TFUE, fie în mod exclusiv, fie prin coroborare cu cele două articole citate anterior(28).
64. Cu privire la acest din urmă aspect, trebuie să precizăm că, contrar celor arătate de Consiliu în observațiile sale scrise, Curtea ne pare perfect competentă, având în vedere natura necontencioasă și preventivă a procedurii de aviz, să examineze cea de a doua întrebare adresată de Parlament din perspectiva cumulului temeiurilor juridice materiale, deși modul de redactare a acestei întrebări nu îl are în vedere. Adăugăm că părțile interesate au avut ocazia, atât în faza scrisă a procedurii, cât și la ședință, să ia poziție cu privire la acest aspect.
65. Acest lucru este cu atât mai important cu cât examinarea finalității și a conținutului acordului preconizat trebuie să conducă, în opinia noastră, la a se reține că acesta din urmă urmărește două obiective și are două componente, fără ca, în mod global, nici aceste două obiective, nici aceste componente diferite să poată fi ierarhizate și disociate. Această constatare justifică, în opinia noastră, ca actul de încheiere a acordului preconizat să aibă ca temeiuri juridice materiale articolul 16 și articolul 87 alineatul (2) litera (a) TFUE, ceea ce presupune ca procedurile prevăzute de aceste două articole să poată coexista.
1. Cu privire la finalitatea și la conținutul acordului preconizat
66. Din cel de al doilea paragraf al preambulului acordului preconizat reiese că părțile contractante recunosc „importanța prevenirii, combaterii, reprimării și eliminării terorismului și a infracțiunilor care au legătură cu terorismul, precum și a altor infracțiuni transnaționale grave, protejând, în același timp, drepturile și libertățile fundamentale, în special dreptul la viață privată și la protecția datelor”, în timp ce al patrulea paragraf adaugă că utilizarea datelor PNR este un instrument extrem de important pentru realizarea acestor obiective.
67. Urmărirea simultană, pe de o parte, a obiectivului privind combaterea terorismului și a altor infracțiuni transnaționale grave și, pe de altă parte, a respectării vieții private și a protecției datelor cu caracter personal este confirmată de al cincilea și de al șaselea paragraf al preambulului, care subliniază intenția părților contractante de „a garanta siguranța publică” și, respectiv, recunoașterea faptului că acestea „împărtășesc valori comune în ceea ce privește protecția datelor și a vieții private”.
68. De asemenea, reiese în mod expres din al cincisprezecelea paragraf al preambulului angajamentul Canadei conform căruia autoritatea competentă prelucrează „date PNR în scopul prevenirii, detectării, cercetării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor transnaționale grave, cu respectarea strictă a garanțiilor privind viața privată și protecția datelor cu caracter personal, astfel cum se prevede în [acordul preconizat]”.
69. Prin urmare, acordul preconizat urmărește să permită Canadei să prelucreze datele PNR ale pasagerilor transmise de transportatorii aerieni care efectuează curse între Uniune și Canada, în scopul combaterii terorismului și a altor infracțiuni transnaționale grave, asigurând totodată dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal în condițiile prevăzute chiar de acordul preconizat.
70. Această conciliere necesară între cele două obiective menționate se coroborează cu articolul 1din acordul preconizat, care prevede că părțile contractante stabilesc condițiile care reglementează transferul și utilizarea datelor PNR „pentru a asigura securitatea și siguranța populației și stabilesc mijloacele prin care datele respective sunt protejate”.
71. Examinarea conținutului acordului preconizat confirmă de asemenea că mijlocul de a combate terorismul și alte infracțiuni transnaționale grave prin transferul și prelucrarea datelor PNR este permis numai dacă datele în discuție beneficiază de un nivel de protecție adecvat.
72. Astfel, potrivit articolului 3 alineatul (1) din acordul preconizat, Canada asigură faptul că autoritatea canadiană competentă prelucrează datele PNR primite „exclusiv în scopul prevenirii, detectării, cercetării sau urmăririi penale a infracțiunilor de terorism sau a infracțiunilor transnaționale grave”, subliniind totodată că această prelucrare trebuie realizată „în temeiul prezentului acord”. Această precizare înseamnă în special că, în temeiul articolului 5 din acordul preconizat, „sub rezerva conformității [cu acesta din urmă], autoritatea canadiană competentă se consideră că asigură un nivel adecvat de protecție, în sensul legislației relevante a UE în domeniul protecției datelor”.
73. De asemenea, în contextul păstrării datelor PNR și al depersonalizării progresive prin mascare a datelor respective, prevăzute la articolul 16 din acordul preconizat, alineatul (4) al acestui articol permite demascarea de către autoritățile canadiene numai în cazul în care, „pe baza informațiilor disponibile, este necesar să se efectueze investigații care se încadrează în domeniul de aplicare al articolului 3” din acordul preconizat.
74. În plus, articolul 18 alineatul (1) și articolul 19 alineatul (1) din acordul preconizat permit divulgarea ulterioară a datelor PNR altor autorități publice canadiene sau unor țări terțe numai în condiții enumerate limitativ, printre care în special cele potrivit cărora, pe de o parte, autoritățile în discuție exercită „funcții [care] au o legătură directă cu domeniul de aplicare al articolului 3 [din acordul preconizat] și, pe de altă parte, aceleași autorități asigură o protecție sau aplică standarde echivalente cu garanțiile prevăzute în [acordul preconizat].
75. Fără a infirma necesitatea de a concilia cele două obiective urmărite, anumite prevederi ale acordului preconizat se raportează totuși mai degrabă la scopul combaterii terorismului și infracțiunilor transnaționale grave, altele, în schimb, la scopul necesității de a asigura o protecție adecvată a datelor cu caracter personal.
76. Astfel, în ceea ce privește, în mod specific, primul obiectiv, articolul 6 alineatul (2) din acordul preconizat obligă Canada să facă schimb, în cazuri specifice și la cererea Oficiului European de Poliție (Europol), a unității europene de cooperare judiciară (Eurojust), în limitele domeniului de competență al acestora, sau la cererea autorității judiciare sau polițienești a unui stat membru al Uniunii Europene, de date PNR sau de informații analitice care conțin date PNR obținute în temeiul acordului preconizat „pentru a preveni, a detecta, a cerceta sau a urmări penal în Uniunea Europeană o infracțiune de terorism sau o infracțiune transnațională gravă”. Pe de altă parte, potrivit articolului 23 alineatul (2) din acordul preconizat, se prevede că părțile contractante cooperează pentru a asigura coerența regimurilor lor de prelucrare a datelor PNR, „astfel încât să consolideze în continuare securitatea cetățenilor Canadei, ai UE și ai altor țări”.
77. În ceea ce privește prevederile care țin mai mult de garanțiile oferite de acordul preconizat în materie de protecție a datelor, acesta prevede o serie de norme privind securitatea și integritatea datelor (articolul 9 din acordul preconizat), accesul, corectarea sau atașarea unei note la cererea particularilor (articolele 12 și 13 din acordul preconizat), supravegherea prelucrării datelor PNR, precum și căile de atac administrative și judiciare oferite persoanelor în cauză (articolele 10 și 14 din acordul preconizat).
78. Având în vedere scopul și conținutul acordului preconizat, acesta din urmă urmărește, așadar, două obiective și are două componente esențiale, ceea ce, în definitiv, marea majoritate a părților interesate au admis sau, cel puțin, au recunoscut.
79. Contrar sublinierilor părților interesate în susținerea tezelor contrare, este într‑adevăr dificil, în opinia noastră, să se stabilească care dintre aceste două obiective prevalează.
80. Astfel, după cum tinde să demonstreze descrierea scopului și conținutului acordului preconizat, aceste două obiective trebuie să fie urmărite simultan și par, în definitiv, indisociabile. Pe de o parte, astfel cum am subliniat, transferul și prelucrarea datelor PNR de către autoritatea canadiană competentă în scopul prevăzut la articolul 3 din acordul preconizat sunt autorizate numai dacă aceste operațiuni sunt însoțite de o protecție adecvată a datelor, în sensul dreptului Uniunii în materie, conform articolului 5 din acordul preconizat. Cu alte cuvinte, în cazul în care nu se asigură o asemenea protecție, transferul de date PNR prevăzut de acordul preconizat nu poate fi realizat în mod legal. Pe de altă parte, garanțiile prevăzute de acordul preconizat în ceea ce privește protecția datelor cu caracter personal sunt necesare numai pentru faptul că datele PNR trebuie să fie transferate autorității canadiene competente în temeiul legislației canadiene și prevederilor acordului preconizat. Astfel cum ilustrează mai multe dispoziții ale acordului preconizat, precum articolele 16, 18 și 19 din acord, acordul preconizat urmărește, așadar, să concilieze obiectivul de securitate cu obiectivul de protecție a drepturilor fundamentale ale indivizilor în cauză, în mod specific cel al protecției datelor lor cu caracter personal.
81. De altfel, considerăm că aceste două obiective și aceste două componente ale acordului preconizat sunt legate în mod indisociabil, fără ca vreunul dintre ele să fie secundar și indirect în raport cu celălalt.
82. Această apreciere nu poate fi infirmată de argumentul Comisiei întemeiat pe punctul 56 din Hotărârea din 30 mai 2006, Parlamentul/Consiliul și Comisia (C‑317/04 și C‑318/04, EU:C:2006:346), potrivit căruia Curtea a decis că transferul de date PNR către Statele Unite constituia o prelucrare având ca obiect siguranța publică și activitățile statelor membre referitoare la domeniile de drept penal.
83. Astfel, mai întâi, prezenta procedură de aviz are drept obiect acordul preconizat încheiat cu Canada, iar nu primul acord încheiat cu Statele Unite în 2004 și decizia privind caracterul adecvat al nivelului de protecție adoptată de Comisie în același an, la care se refereau acțiunile în anulare introduse de Parlament.
84. În continuare și în mod fundamental, Comisia procedează la o interpretare în afara contextului a constatării efectuate de Curte la acest punct din Hotărârea din 30 mai 2006, Parlamentul/Consiliul și Comisia (C‑317/04 și C‑318/04, EU:C:2006:346), care, amintim, a fost pronunțată cu mult înainte de adoptarea Tratatului de la Lisabona.
85. Astfel, Curtea era invitată de Parlament să stabilească în special dacă Comisia era competentă să adopte o decizie privind caracterul adecvat, întemeiată pe articolul 25 din Directiva 95/46, referitoare la nivelul de protecție garantat pentru prelucrarea datelor cu caracter personal conținute în dosarele PNR transferate Statelor Unite, în timp ce articolul 3 alineatul (2) din această directivă exclude în mod expres din domeniul său de aplicare prelucrările având ca obiect în special siguranța publică și activitățile statului în domeniul dreptului penal. În mod logic, Curtea a răspuns în sens negativ. Astfel, prelucrarea datelor PNR în contextul acordului cu Statele Unite nu putea avea legătură cu realizarea unei prestări de servicii, ci se insera în cadrul instituit de autoritățile publice și care vizează siguranța publică, care nu intra în domeniul de aplicare al Directivei 95/46(29).
86. Or, această apreciere nu înseamnă nicidecum că Curtea a statuat în mod definitiv cu privire la obiectul acordurilor PNR, inclusiv, în scopul argumentării, cu privire la obiectul acordului preconizat, sau, cu atât mai mult, că aceasta ar fi statuat în mod definitiv că acordurile menționate au drept obiectiv exclusiv, principal sau preponderent combaterea terorismului și a infracțiunilor transnaționale grave, astfel cum susține în mod greșit Comisia.
87. Constatarea Curții în Hotărârea din 30 mai 2006, Parlamentul/Consiliul și Comisia (C‑317/04 și C‑318/04, EU:C:2006:346), nu înseamnă în mod evident nici că, statuând cu privire la domeniul de aplicare material al Directivei 95/46, aceasta ar fi stabilit, cu aceeași ocazie și în mod anticipat, limitele domeniului de aplicare al articolului 16 TFUE.
88. În susținerea tezei sale potrivit căreia obiectivul privind securitatea al acordului preconizat ar fi preponderent și ar justifica, așadar, temeiul juridic ales, Comisia încearcă, în plus, să facă o analogie între prezenta cauză și cea în care s‑a pronunțat Hotărârea din 6 mai 2014, Comisia/Parlamentul și Consiliul (C‑43/12, EU:C:2014:298).
89. În acea cauză, care privea stabilirea temeiului juridic adecvat al Directivei 2011/82/UE a Parlamentului European și a Consiliului din 25 octombrie 2011 de facilitare a schimbului transfrontalier de informații privind încălcările normelor de circulație care afectează siguranța rutieră(30), Curtea a statuat, după ce a stabilit că obiectivul preponderent al acestui act constă în îmbunătățirea siguranței rutiere (și, așadar, a transporturilor), că sistemul de schimb de informații stabilit de directiva respectivă constituie „instrumentul prin intermediul căruia directiva urmărește [acest] obiectiv”(31). Prin urmare, Directiva 2011/82 ar fi trebuit să fie adoptată nu în temeiul articolului 87 alineatul (2) TFUE (cooperarea polițienească), ci în temeiul articolului 91 alineatul (1) litera (c) TFUE, care face parte din titlul privind politica în domeniul transporturilor.
90. Deși am putea să admitem că există o analogie parțială între cele două situații, aceasta nu modifică în niciun fel analiza potrivit căreia acordul preconizat urmărește două obiective și are două componente indisociabile. Astfel, faptul că transferul de date PNR în favoarea autorității competente canadiene poate constitui instrumentul prin intermediul căruia părțile contractante urmăresc obiectivul de siguranță publică al acordului preconizat nu schimbă cu nimic constatarea că obiectul acordului preconizat, astfel cum este descris în special la articolul 1din acordul menționat, este dublu. De altfel, particularitatea acordului preconizat, care îl distinge tocmai de Directiva 2011/82, se referă la circumstanța că eficacitatea maximă urmărită de instrumentul reprezentat de transferul de date PNR pentru a atinge scopurile enumerate la articolul 3 din acordul preconizat trebuie să fie evaluată comparativ cu garanțiile în materie de protecție a datelor cu caracter personal prevăzute de acordul menționat și care contribuie exact la cel de al doilea obiectiv urmărit de acesta din urmă.
91. În sfârșit, nu reușesc să ne convingă nici argumentele Parlamentului în susținerea poziției sale potrivit căreia „centrul de gravitate” al acordului preconizat s‑ar afla în mod preponderent în garanțiile pe care prevederile sale le oferă pasagerilor în domeniul protecției datelor lor PNR, care ar justifica ca decizia de încheiere a acestui act să fie exclusiv întemeiată pe articolul 16 TFUE.
92. Pe de o parte, este inexact să se susțină că acordul preconizat nu ar prevedea nicio obligație în sarcina companiilor aeriene de a transmite datele PNR autorității canadiene competente pentru ca aceste date să fie prelucrate conform scopurilor enumerate la articolul 3 din acordul preconizat. Este adevărat, astfel cum a arătat Parlamentul în observațiile sale scrise, că articolul 4 alineatul (1) din acordul preconizat prevede că Uniunea asigură doar faptul că transportatorii aerieni „nu sunt împiedicați” să transfere date PNR autorității canadiene competente. Cu toate acestea, rezultă din coroborarea acestui articol, intitulat „Asigurarea furnizării datelor PNR”, cu articolele 5(32), 20(33) și 21(34) din acordul preconizat, astfel cum a admis de altfel Parlamentul în răspunsul la o întrebare scrisă adresată de Curte, că transportatorii aerieni au dreptul și sunt obligați în practică să asigure accesul la datele PNR în mod sistematic autorității canadiene competente în scopurile definite la articolul 3 din acordul preconizat.
93. Pe de altă parte, obiectul acordului preconizat nu poate fi asimilat în principal cu o decizie privind caracterul adecvat al nivelului de protecție, asemănătoare cu cea pe care Comisia o adoptase sub egida Acordului din 2006(35). Astfel cum s‑a arătat deja, atât scopul, cât și conținutul acordului preconizat demonstrează, dimpotrivă, că acesta din urmă urmărește să concilieze cele două obiective pe care le urmărește și că acestea sunt legate în mod indisociabil.
94. Care este deci consecința acestei constatări asupra stabilirii temeiului juridic al actului privind încheierea acordului preconizat?
2. Cu privire la temeiul juridic adecvat
95. Astfel cum s‑a menționat deja, este cert că propunerea de decizie a Consiliului privind încheierea acordului preconizat se întemeiază pe articolul 82 alineatul (1) litera (d) și pe articolul 87 alineatul (2) litera (a) TFUE, care fac parte ambele din titlul V din partea a treia din TFUE, referitoare la „[SLSJ]”.
96. Având în vedere cele două obiective și cele două componente indisociabile ale acordului preconizat descrise mai sus, aceste temeiuri juridice materiale ne par, desigur, cel puțin în parte, relevante, dar insuficiente. Considerăm astfel că trebuie și este posibil, având în vedere jurisprudența, ca actul de încheiere a acordului preconizat să se întemeieze pe articolul 16 alineatul (2) primul paragraf TFUE.
a) Cu privire la pertinența articolului 82 alineatul (1) litera (d) și a articolului 87 alineatul (2) litera (a) TFUE
97. În ceea ce privește primul aspect, și anume pertinența articolului 82 alineatul (1) litera (d) și a articolului 87 alineatul (2) litera (a) TFUE, este necesar mai întâi să convenim asupra faptului că construirea unui SLSJ necesită ca Uniunea să își poată exercita competența externă.
98. În afara ipotezei acordurilor de readmisie, prevăzută la articolul 79 alineatul (3) TFUE, referitoare la politica de imigrație și care nu este relevantă în speță, Uniunii nu i s‑a acordat o competență externă explicită, de natură generală, aferentă SLSJ. Cu toate acestea, articolul 216 alineatul (1) TFUE permite Uniunii să încheie acorduri internaționale, inclusiv în domeniul cooperării polițienești și/sau judiciare în materie penală, în special în cazul în care încheierea unui acord este necesară pentru realizarea unuia dintre obiectivele stabilite prin tratate.
99. Niciuna dintre părțile interesate nu contestă această posibilitate. În opinia noastră, Curtea nu se poate limita totuși la această constatare. Apreciem că Curtea ar trebui să consacre câteva considerații acestei probleme în avizul pe care este chemată să îl emită.
100. Admiterea competenței externe a Uniunii în domeniul SLSJ necesită să se poată asocia exercitarea acestei competențe în domeniul cooperării polițienești și judiciare în materie penală cu obiectivele urmărite de SLSJ.
101. Aceste obiective sunt enunțate la articolul 3 alineatul (2) TUE și la articolul 67 TFUE. Prima dintre aceste dispoziții prevede că „Uniunea oferă cetățenilor săi un [SLSJ], fără frontiere interne, în interiorul căruia este asigurată libera circulație a persoanelor, în corelare cu măsuri adecvate privind controlul la frontierele externe, […] precum și prevenirea criminalității și combaterea acestui fenomen”. Articolul 67 TFUE, cu care începe capitolul 1 titlul V din partea a treia a Tratatului FUE, prevede la alineatul (3) că Uniunea „acționează pentru a asigura un înalt nivel de securitate prin măsuri de prevenire a criminalității, a rasismului și a xenofobiei, precum și de combatere a acestora, prin măsuri de coordonare și de cooperare între autoritățile polițienești și judiciare și alte autorități competente”.
102. Astfel cum a susținut în mod întemeiat avocatul general Bot în Concluziile din 30 ianuarie 2014 prezentate în cauza Parlamentul/Consiliul (C‑658/11, EU:C:2014:41, punctele 111 și 112), dimensiunea externă a SLSJ este funcțională și instrumentală în privința obiectivelor care sunt exprimate în aceste dispoziții. În consecință, în cazul în care construirea SLSJ poate necesita o acțiune externă din partea Uniunii, pentru ca un acord să poată fi considerat ca intrând sub incidența SLSJ, este necesar ca acesta să prezinte o legătură strânsă cu libertatea, securitatea și justiția în cadrul Uniunii, cu alte cuvinte o legătură directă între finalitatea securității interne a Uniunii și cooperarea polițienească și/sau judiciară care este dezvoltată în afara Uniunii(36).
103. Într‑un alt context, dar în același sens, Curtea, interpretând articolul 87 alineatul (2) TFUE în lumina articolului 67 TFUE, a precizat că, pentru ca un act al Uniunii să poată, având în vedere finalitatea și conținutul său, să se întemeieze pe primul dintre aceste articole, actul menționat trebuie să fie legat în mod direct de obiectivele menționate la articolul 67 TFUE(37).
104. În opinia noastră, aceasta este situația acordului preconizat.
105. Astfel, în primul rând, acest acord se aplică transferului, prelucrării și utilizării datelor PNR având ca finalitate siguranța publică și activitățile statului în domeniul dreptului penal(38), cu alte cuvinte, în mod specific, prevenirea, detectarea, cercetarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor transnaționale grave. Potrivit articolului 1 din acordul preconizat, acesta urmărește în special să „asigur[e] securitatea și siguranța populației”, ceea ce implică în mod evident securitatea și siguranța cetățenilor Uniunii, în special a celor care efectuează curse aeriene între Canada și Uniunea Europeană(39). Pe de altă parte, articolul 6 alineatul (2) din acordul preconizat obligă Canada, în special la cererea autorității polițienești și judiciare a unui stat membru al Uniunii Europene, să facă schimb, în cazuri specifice, de date PNR sau de informații analitice care conțin astfel de date obținute în temeiul acordului preconizat pentru a preveni sau a detecta o infracțiune de terorism sau o infracțiune transnațională gravă „în Uniunea Europeană”.
106. În al doilea rând, deși colectarea și transferul inițial de date PNR sunt realizate de transportatorii aerieni, prevederile acordului preconizat constituie un cadru juridic instituit de autoritățile publice în scopuri de aplicare a legii(40). Astfel cum am menționat deja, acordul preconizat instituie astfel norme privind accesul la datele PNR și/sau la informațiile analitice care conțin astfel de date al autorităților canadiene competente, precum și transmiterea ulterioară a unor astfel de date în special către autoritățile polițienești și judiciare competente ale Uniunii și ale statelor membre, precum și către autoritățile țărilor terțe, în special în scopurile enumerate la articolul 3 din acordul preconizat. Pe de altă parte, astfel cum a reieșit în mod clar din dezbaterile în fața Curții, perioada de păstrare de cinci ani a datelor PNR, prevăzută la articolul 16 alineatele (1) și (5) din acordul preconizat, a fost stabilită pentru a permite și a facilita cercetarea, urmărirea penală și procedurile judiciare referitoare în special la rețelele internaționale de infracțiuni grave. Or, în lumina modului de redactare foarte larg al articolului 16 alineatul (5) din acordul preconizat, aceste cercetări și urmăriri penale le pot include perfect pe cele efectuate de autoritățile polițienești și judiciare ale statelor membre ale Uniunii. Astfel de norme intră, în principiu, în domeniul de aplicare acoperit de cooperarea polițienească și judiciară în materie penală(41).
107. Deducem de aici, pe de o parte, că, în măsura în care vizează măsurile pe care le pot stabili Parlamentul și Consiliul privind „colectarea, stocarea, prelucrarea și analizarea informațiilor în domeniu, precum și schimbul de informații” în scopul cooperării polițienești „în domeniul prevenirii sau al depistării și al cercetării infracțiunilor”, prevăzută la articolul 87 alineatul (1) TFUE, articolul 87 alineatul (2) litera (a) TFUE constituie un temei juridic adecvat al actului de încheiere a acordului preconizat. Adăugăm, în orice caz, că nu este necesar ca această cooperare și aceste schimburi să fie realizate între autorități care sunt calificate în mod specific, în dreptul național, drept servicii de poliție stricto sensu. Astfel, articolul 87 alineatul (1) TFUE asociază cooperării polițienești, într‑un mod deosebit de larg, „toate autoritățile competente din statele membre, inclusiv serviciile de poliție, serviciile vamale și alte servicii specializate de aplicare a legii”(42), expresie care permite perfect, în contextul dimensiunii externe a SLSJ, cooperarea cu ASFC în scopul garantării securității interne a Uniunii.
108. În ceea ce privește, pe de altă parte, aspectul privind „cooperarea judiciară în materie penală” din acordul preconizat, în pofida elementelor subliniate la punctele 105 și 106 din prezentele concluzii, recunoaștem că avem câteva ezitări în a considera că acordul preconizat poate constitui o măsură care contribuie în mod direct la „facilitarea cooperării dintre autoritățile judiciare sau echivalente ale statelor membre în materie de urmărire penală și executare a deciziilor”, în sensul articolului 82 alineatul (1) litera (d) TFUE. Astfel cum a admis în special guvernul Regatului Unit în răspunsul său la una dintre întrebările scrise adresate de Curte, numai în anumite cazuri, acordul preconizat ar putea facilita o asemenea cooperare între autoritățile judiciare ale statelor membre. O asemenea cooperare depinde totuși de un anumit număr de parametri, atât factuali, cât și juridici, care nu intră sub incidența prevederilor acordului preconizat. Cooperarea dintre autoritățile judiciare ale statelor membre pare să fie, așadar, doar o consecință indirectă a cadrului instituit prin acordul preconizat. Desigur, faptul că articolul 6 din acordul preconizat stabilește nu numai obligația autorității canadiene competente, ci, mai general, a „Canadei” de a transmite date PNR sau informații analitice către autorități judiciare ale statelor membre poate fi interpretat ca impunând de asemenea o astfel de obligație autorităților judiciare ale acestui stat terț. Presupunând că această interpretare este corectă și că este posibil un schimb de date PNR între autorități judiciare, nu este mai puțin adevărat că, în stadiul actual al redactării sale, acordul preconizat nu pare să contribuie cu adevărat la facilitarea cooperării dintre autoritățile judiciare sau echivalente ale statelor membre. În opinia noastră, numai în cazul în care Curtea ar adopta o interpretare mai generoasă a articolului 82 alineatul (1) litera (d) TFUE, după caz, prin coroborare cu articolul 67 alineatul (3) TFUE, potrivit căruia Uniunea „acționează pentru a asigura un înalt nivel de securitate […] prin măsuri de coordonare și de cooperare între autoritățile […] judiciare și alte autorități competente” sau în cazul în care părțile contractante ar modifica prevederile acordului preconizat în sensul luării în considerare mai directe a dimensiunii judiciare a acordului preconizat, articolul 82 alineatul (1) litera (d) TFUE ar putea constitui în mod valabil un temei juridic suplimentar al actului de încheiere a acordului menționat.
109. Adăugăm că aprecierea potrivit căreia articolul 82 alineatul (1) litera (d) TFUE nu poate constitui în mod valabil temeiul actului de încheiere a acordului preconizat nu este infirmată de circumstanța, menționată de anumite părți interesate, potrivit căreia deciziile Consiliului privind încheierea acordurilor PNR cu Australia și, respectiv, cu Statele Unite se întemeiază pe această dispoziție, coroborată cu articolul 87 alineatul (2) litera (a) TFUE(43). Astfel, potrivit unei jurisprudențe constante, este lipsit de relevanță, în vederea verificării temeiului juridic al actului de încheiere a acordului preconizat în speță, temeiul juridic care a fost reținut pentru adoptarea altor acte ale Uniunii care prezintă eventual caracteristici similare(44).
110. În aceste condiții, în stadiul actual al redactării acordului preconizat, considerăm că articolul 87 alineatul (2) litera (a) TFUE constituie un temei juridic adecvat al actului de încheiere a acordului preconizat.
111. În aceste condiții, temeiul juridic material menționat, indicat în mod valabil în proiectul de act de încheiere a acordului preconizat, ne pare să fie insuficient pentru a permite Uniunii să îl încheie.
b) Cu privire la necesitatea de a întemeia actul de încheiere a acordului preconizat pe articolul 16 alineatul (2) primul paragraf TFUE
112. Astfel, după cum a susținut Parlamentul în mod întemeiat în cererea sa, articolul 87 alineatul (2) litera (a) TFUE și, de altfel, în general, titlul V din partea a treia din Tratatul FUE, referitor la SLSJ, nu prevede adoptarea de norme în domeniul protecției datelor cu caracter personal.
113. Or, astfel cum am demonstrat anterior, unul dintre cele două obiective esențiale ale acordului preconizat, după cum prevede articolul 1 din acesta, este tocmai de a „stabil[i] mijloacele prin care datele” PNR ale pasagerilor care efectuează curse aeriene între Canada și Uniunea Europeană „sunt protejate”. Astfel cum am subliniat deja, conținutul acordului preconizat confirmă acest obiectiv, în special prevederile care figurează în capitolul referitor la „garanțiile aplicabile prelucrării datelor PNR”, care cuprinde articolele 7-21 din acordul preconizat.
114. În acest context, acțiunea Uniunii trebuie să fie în mod necesar întemeiată, în opinia noastră, pe articolul 16 alineatul (2) primul paragraf TFUE, care, amintim, atribuie Parlamentului și Consiliului competența de a stabili normele privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în special de către statele membre în exercitarea activităților care fac parte din domeniul de aplicare al dreptului Uniunii, precum și norme privind libera circulație a datelor. Trei motive principale motivează această abordare.
115. Mai întâi, la fel ca și raționamentul dezvoltat mai sus în ceea ce privește dimensiunea externă a SLSJ, Uniunea trebuie considerată, conform articolului 216 alineatul (1) TFUE, ca fiind abilitată să încheie un acord internațional cu o țară terță al cărui obiect are în vedere stabilirea normelor privind protecția datelor cu caracter personal în cazul în care acest lucru este necesar pentru realizarea unuia dintre obiectivele prevăzute de tratate, în speță cele prevăzute de articolul 16 TFUE. Aceasta este situația acordului preconizat, una dintre finalitățile esențiale ale acestuia constând în esență în stabilirea mijloacelor de asigurare a protecției datelor PNR ale pasagerilor care efectuează curse aeriene între Canada și Uniunea Europeană. Pe de altă parte, nu există nicio îndoială, în opinia noastră, că prevederile acordului preconizat trebuie să fie calificate drept „norme” privind protecția datelor persoanelor fizice, în sensul articolului 16 alineatul (2) primul paragraf TFUE, al căror scop este să oblige părțile contractante.
116. În continuare și contrar fostului articol 286 CE, articolul 16 alineatul (2) primul paragraf TFUE, cuprins în titlul II din partea întâi din acest tratat, intitulat „Dispoziții de aplicare generală”, are vocația de a constitui temeiul juridic al tuturor normelor adoptate la nivelul Uniunii referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor personale, inclusiv al celor care se inserează în cadrul adoptării măsurilor care intră sub incidența dispozițiilor Tratatului FUE privind cooperarea polițienească și judiciară în materie penală. Astfel, după cum specifică al doilea paragraf al aceluiași articol, doar normele aferente protecției datelor cu caracter personal adoptate în contextul politicii externe și de securitate comună trebuie să se întemeieze pe articolul 39 TUE. Această interpretare a articolului 16 alineatul (2) primul paragraf TFUE este, pe de o parte, confirmată de omisiunea oricărei trimiteri la eventuala adoptare a dispozițiilor privind protecția datelor cu caracter personal în temeiul articolului 87 alineatul (2) litera (a) TFUE. Or, trebuie amintit că, înainte de intrarea în vigoare a Tratatului de la Lisabona, articolul 30 alineatul (1) litera (b) TUE prevedea, dimpotrivă, că o acțiune comună în domeniul cooperării polițienești putea acoperi între altele prelucrarea, analiza și schimbul de informații relevante, sub rezerva „unor dispoziții corespunzătoare privind protecția datelor cu caracter personal”, text care a permis, de altfel, Consiliului să adopte Decizia‑cadru 2008/977/JAI din 27 noiembrie 2008 privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală(45). Pe de altă parte, astfel cum vom reveni ulterior, trebuie să se sublinieze că dispozițiile Protocoalelor (nr. 21) și (nr. 22) au prevăzut într‑adevăr ipoteza potrivit căreia norme întemeiate pe articolul 16 alineatul (2) primul paragraf TFUE pot fi adoptate în cadrul exercitării activităților care fac parte din capitolele Tratatului FUE privind cooperarea polițienească și judiciară în materie penală.
117. Rezultă, pentru a înlătura orice îndoială având în vedere ambiguitatea poziției susținute de Comisie în observațiile sale scrise, că articolul 16 TFUE, pe de o parte, și articolul 87 alineatul (2) litera (a), precum și articolul 82 alineatul (1) litera (d) TFUE, pe de altă parte, nu pot avea raporturi de tip ierarhic „lex generalis – lex specialis”. Astfel, după cum ilustrează în special protocoalele citate anterior, Înaltele Părți Contractante au avut în vedere eventualitatea ca un act al Uniunii să se poată întemeia în același timp pe aceste trei articole, tocmai în considerarea faptului că dispozițiile menționate au domenii de aplicare distincte.
118. În sfârșit, astfel cum au susținut în special Parlamentul, Comisia și AEPD în răspunsurile lor la o întrebare scrisă adresată de Curte, relevanța articolului 16 TFUE ca temei juridic al actului de încheiere a acordului preconizat nu poate fi pusă la îndoială de faptul că măsurile de protecție a căror adoptare este permisă de acest articol se raportează la prelucrarea datelor de către autoritățile statelor membre, iar nu, precum în speță, la transferul datelor colectate în prealabil de către entitățile private (transportatori aerieni) către o țară terță.
119. Astfel, pe de o parte, pentru a‑l parafraza pe avocatul general Léger, obligația de care este ținută o companie aeriană în temeiul coroborării articolelor 4, 5, 20 și 21 din acordul preconizat, de a transfera în mod direct o serie de date PNR către Canada, nu este „în mod fundamental înlăturat[ă] de un schimb direct de date între autoritățile publice”(46). Pe de altă parte, întrucât Curtea a confirmat că se încadrează în definiția „prelucrării datelor”, în sensul Directivei 95/46, transferul de date cu caracter personal de către un operator privat dintr‑un stat membru către o țară terță(47), interpretarea în sens strict literal a noului temei juridic reprezentat de articolul 16 alineatul (2) primul paragraf TFUE ar echivala cu o fracționare a sistemului de protecție a datelor cu caracter personal. O asemenea interpretare pare să fie în contradicție cu intenția Înaltelor Părți Contractante de a crea un temei juridic, în principiu unic, care permite în mod expres Uniunii să adopte norme privind protecția datelor cu caracter personal ale persoanelor fizice. Prin urmare, ar fi vorba despre o regresie dificil de explicat în raport cu sistemul precedent, întemeiat pe dispozițiile tratatului privind piața internă. Această interpretare strict literală a articolului 16 TFUE ar avea astfel drept consecință privarea acestei dispoziții de o mare parte din efectul său util.
120. În consecință, având în vedere obiectivele și componentele acordului preconizat, care sunt legate în mod indisociabil, actul de încheiere a acestui acord trebuie să fie, în opinia noastră, întemeiat pe articolul 16 alineatul (2) primul paragraf TFUE și pe articolul 87 alineatul (2) litera (a) TFUE ca temeiuri juridice materiale.
121. Potrivit jurisprudenței, reținerea mai multor temeiuri juridice pentru adoptarea unui act al Uniunii impune ca procedurile prevăzute de diferitele temeiuri juridice în discuție să fie compatibile(48).
122. În speță, atât articolul 16 alineatul (2) primul paragraf TFUE, cât și articolul 87 alineatul (2) litera (a) TFUE prevăd că, pentru a adopta măsurile avute în vedere de aceste două articole, Parlamentul și Consiliul statuează în conformitate cu procedura legislativă ordinară. În plus, situația este aceeași pentru măsurile întemeiate pe articolul 82 alineatul (1) litera (d) TFUE în cazul în care Curtea va considera acest articol ca fiind un temei juridic material adecvat al actului de încheiere a acordului preconizat.
123. Prin urmare, procedurile prevăzute în mod specific de aceste articole sunt compatibile, în sensul jurisprudenței. Ele nu se opun, așadar, ca Curtea să rețină mai multe temeiuri juridice ale actului de încheiere a acordului preconizat.
124. Consiliul, susținut de Irlanda, a arătat totuși că trebuie să se meargă dincolo de această constatare prin examinarea modalităților de participare a Regatului Danemarcei, a Irlandei și a Regatului Unit, în cadrul Consiliului, astfel cum au fost prevăzute de dispozițiile Protocoalelor (nr. 21) și (nr. 22). Conform acestor părți interesate, modalitățile respective s‑ar opune aplicării comune, ca temeiuri juridice materiale, a articolului 16 TFUE și a articolului 87 alineatul (2) litera (a) TFUE. Mai precis, Consiliul a explicat în ședința în fața Curții, nu fără câteva contradicții și incoerențe(49), că dispozițiile acestor protocoale ar distinge problema caracterului neobligatoriu al normelor stabilite în temeiul articolului 16 TFUE privind prelucrarea datelor cu caracter personal în exercitarea activităților care fac parte din cooperarea polițienească și judiciară în materie penală de problema participării acestor trei state membre la procedura de vot în cadrul Consiliului, atunci când acesta din urmă este chemat să adopte astfel de norme. Ar reieși că, deși aceste trei state membre nu ar participa la adoptarea măsurilor care intră în domeniul de aplicare al cooperării polițienești și judiciare în materie penală, cu excepția cazului în care Irlanda și Regatul Unit ar fi decis să își exercite dreptul lor la „opt‑in”, acestea ar participa încă la adoptarea normelor care ar avea drept temei juridic articolul 16 TFUE, în pofida faptului că, în temeiul protocoalelor respective, aceste măsuri nu ar fi obligatorii pentru ele.
125. Aceste argumente necesită o anumită atenție, chiar dacă, în definitiv, considerăm că ar trebui să le respingem.
126. Amintim că Curtea a statuat deja că cele două protocoale în discuție nu sunt susceptibile să aibă vreun efect „de orice natură asupra chestiunii temeiului juridic adecvat” pentru adoptarea unui act al Uniunii(50). Astfel, potrivit acestei jurisprudențe, în cazul în care, la încheierea analizei obiectivului și conținutului acordului preconizat și contrar celor susținute mai sus, actul de încheiere a acestui acord ar trebui să se întemeieze în mod exclusiv pe articolul 16 alineatul (2) primul paragraf TFUE, cele două protocoale în discuție, în pofida modului de redactare a articolului 29 din acordul preconizat, nu ar putea „neutraliza” această constatare. Cu alte cuvinte, cele trei state membre în discuție ar trebui să participe la adoptarea actului de încheiere a acordului preconizat și să fie ținute de acesta din urmă.
127. Aplicarea acestei jurisprudențe în ipoteza concurenței a două temeiuri juridice, care prevăd aceeași procedură de adoptare (procedura legislativă ordinară și procedura de vot cu majoritate calificată în cadrul Consiliului), dar care ar afecta în mod diferit participarea, în cadrul Consiliului, a trei state membre vizate de adoptarea actului în cauză, se dovedește mai delicată.
128. În măsura în care este vorba în cauză despre stabilirea temeiului juridic adecvat al unui anumit act, respectiv actul de încheiere a acordului preconizat, această problemă nu necesită să fie soluționată în ceea ce privește Irlanda și Regatul Unit. Astfel, este cert că, potrivit articolului 3 din Protocolul (nr. 21), aceste două state membre și‑au notificat intenția de a fi ținute de acordul preconizat, astfel încât vor participa la adoptarea actului de încheiere a acestuia. Niciun argument de natură procedurală privind aceste două state membre nu se opune, așadar, ca actul privind încheierea acordului preconizat să se întemeieze pe articolul 16 alineatul (2) primul paragraf TFUE coroborat cu articolul 87 alineatul (2) litera (a) TFUE.
129. În ceea ce privește poziția Regatului Danemarcei, trebuie amintit că, conform articolului 2a din Protocolul (nr. 22), articolul 2 din acesta din urmă, potrivit căruia, printre altele, nicio măsură sau niciun acord internațional adoptate în temeiul părții a treia din titlul V din Tratatul FUE nu este obligatorie pentru Regatul Danemarcei, se aplică de asemenea în privința acelor norme stabilite în temeiul juridic al articolului 16 TFUE referitor la prelucrarea datelor cu caracter personal de către statele membre în exercitarea activităților care intră sub incidența domeniului de aplicare al capitolului 4 sau 5 din partea a treia din titlul V din tratatul menționat, și anume care intră sub incidența cooperării polițienești și judiciare în materie penală.
130. Prin urmare, prevederile acordului preconizat nu vor fi obligatorii pentru Regatul Danemarcei. Cu toate acestea, Consiliul susține că, limitându‑se să facă trimitere la articolul 2 din Protocolul (nr. 22), și nu la articolul 1 din acesta, care prevede că Regatul Danemarcei nu participă la adoptarea de către Consiliu a măsurilor propuse care intră sub incidența părții a treia din titlul V din TFUE, articolul 2a din acest protocol ar implica, a contrario, că Regatul Danemarcei ar participa la adoptarea actului de încheiere a acordului preconizat în cazul în care acesta ar trebui să se întemeieze pe articolul 16 TFUE.
131. Acest raționament nu ne convinge sau, cel puțin, nu are consecințele pe care i le atribuie Consiliul în ceea ce privește alegerea temeiului juridic al actului de încheiere a acordului preconizat.
132. Astfel, nu considerăm că Înaltele Părți Contractante au avut intenția să permită Regatului Danemarcei să nu fie ținută de un act care are drept temei juridic atât articolul 16 TFUE, cât și una dintre dispozițiile Tratatului FUE privind cooperarea polițienească și judiciară în materie penală, participând totodată la adoptarea acestui act, cu riscul inerent ca Regatul Danemarcei să se poată alătura unui grup de state membre care se opun ca acest act să fie adoptat în mod corect, astfel încât să se impiedice posibilitatea de a forma o majoritate calificată în cadrul Consiliului. Acest lucru ne pare contrar obiectului Protocolului (nr. 22) care privește căutarea unui echilibru între necesitatea de a asigura poziția specifică a Regatului Danemarcei și necesitatea de a permite celorlalte state membre (inclusiv, după caz, Irlandei și Regatului Unit) să își continue cooperarea în domeniul SLSJ.
133. S‑ar putea obiecta, desigur, în privința acestei interpretări că, în temeiul preambulului la Protocolul (nr. 22), Înaltele Părți Contractante iau notă de faptul că Regatul Danemarcei nu se va opune ca celelalte state membre să continue dezvoltarea cooperării lor în ceea ce privește măsurile pe care acest stat membru nu este obligat să le respecte. Astfel, potrivit acestei teze, deși este autorizat să participe la adoptarea unor acte care intră sub incidența articolului 2a din protocolul menționat care nu sunt obligatorii pentru el, Regatul Danemarcei s‑ar fi angajat să nu se opună niciodată adoptării lor.
134. Dacă aceasta ar trebui să fie interpretarea exactă a dispozițiilor relevante ale Protocolului (nr. 22), consecința ar fi că actul de încheiere a acordului preconizat nu s‑ar putea întemeia pe coroborarea articolului 16 și a articolului 87 alineatul (2) litera (a) TFUE, pentru pretinsa incompatibilitate a procedurilor care conduc la adoptarea acestui act, pentru simplul motiv că Regatul Danemarcei ar participa pur formal la adoptarea acestui act. Ar reieși că această participare pur formală a Regatului Danemarcei la adoptarea actului de încheiere a acordului preconizat „ar neutraliza” analiza obiectivă a temeiului juridic al acestui act, analiză care, amintim, se întemeiază pe examinarea finalităților și a componentelor acestui acord. Această consecință ar fi în mod vădit contrară jurisprudenței potrivit căreia nu procedura este cea care definește temeiul juridic al unui act, ci temeiul juridic al unui act este cel care determină procedura care trebuie urmată pentru adoptarea acestuia(51). Această jurisprudență se aplică, în opinia noastră, cu atât mai mult atunci când procedura care ar trebui urmată în cadrul Consiliului ar implica o participare pur formală a Regatului Danemarcei la adoptarea unui act care nu va fi oricum obligatoriu pentru acest stat membru.
135. Având în vedere ansamblul considerațiilor care precedă, propunem Curții să răspundă la cea de a doua întrebare adresată de Parlament în sensul că actul de încheiere a acordului preconizat, având în vedere obiectivele și componentele acestui acord, care sunt legate în mod indisociabil, fără ca unele să fie accesorii în raport cu altele, trebuie să se întemeieze pe articolul 16 alineatul (2) primul paragraf TFUE și pe articolul 87 alineatul (2) litera (a) TFUE coroborate cu articolul 218 alineatul (6) litera (a) punctul (v) TFUE(52).
VII – Cu privire la compatibilitatea acordului preconizat cu dispozițiile Tratatului FUE și ale cartei (prima întrebare)
A – Sinteza cererii și a observațiilor Parlamentului, precum și a observațiilor celorlalte părți interesate
1. Sinteza cererii și a observațiilor Parlamentului
136. Parlamentul consideră că, având în vedere în special jurisprudența Curții, există o incertitudine juridică în ceea ce privește problema dacă acordul preconizat este compatibil cu articolul 16 TFUE și cu articolele 7, 8 și cu articolul 52 alineatul (1) din cartă.
137. Potrivit Parlamentului, ar fi evident că colectarea, transferul, analiza, păstrarea și transferul ulterior de date PNR prevăzute de acordul preconizat ar constitui diferite „prelucrări” și diferite manifestări ale ingerinței în drepturile fundamentale garantate de articolele 7 și 8 din cartă. Sub diferitele sale manifestări, această ingerință s‑ar dovedi de o amploare mare și ar fi deosebit de gravă(53).
138. Parlamentul subliniază că, potrivit articolului 52 alineatul (1) din cartă, o asemenea ingerință ar putea fi justificată numai dacă este „prevăzută de lege” și se dovedește necesară și proporțională cu un obiectiv de interes general recunoscut de Uniune.
139. În ceea ce privește primul aspect, Parlamentul ridică în esență problema dacă un acord internațional constituie o „lege” în sensul acestei dispoziții și dacă poate prevedea restrângeri privind exercitarea drepturilor garantate de articolele 7 și 8 din cartă. Acesta arată că, potrivit jurisprudenței Curții Europene a Drepturilor Omului privind expresia „prevăzut de lege”, care figurează la articolul 8 din Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, semnată la Roma la 4 noiembrie 1950 (denumită în continuare „CEDO”), orice ingerință ar trebui să aibă un temei „în dreptul intern”. Or, din faptul că Tratatul de la Lisabona a schimbat profund ordinea juridică a Uniunii prin introducerea conceptului „act legislativ”, expresia „prevăzută de lege” ar coincide, în dreptul Uniunii, cu noțiunea „act legislativ”. Un acord internațional nu ar corespunde acestei calificări.
140. În ceea ce privește cel de al doilea aspect, și anume necesitatea ingerinței, Parlamentul consideră că ar reveni Consiliului și Comisiei sarcina de a demonstra, pe baza unor elemente obiective, că încheierea acordului preconizat este efectiv necesară în sensul articolului 52 alineatul (1) din cartă. Ar părea că astfel de elemente lipsesc.
141. În sfârșit, în ceea ce privește al treilea aspect, care privește proporționalitatea ingerinței prevăzute de acordul preconizat, Parlamentul susține că puterea de apreciere a legiuitorului Uniunii s‑ar dovedi redusă astfel încât ar trebui să se efectueze un control strict al cerințelor prevăzute de cartă, inclusiv în contextul încheierii unui acord internațional. În această privință, acordul preconizat ar aparține categoriei „dispozițiilor de supraveghere mai generale”, în sensul jurisprudenței Curții Europene a Drepturilor Omului(54), astfel încât raționamentul urmat de Curte în Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), ar fi aplicabil și în speță.
142. În primul rând, acordul preconizat ar privi, în opinia Parlamentului, în mod global persoanele care călătoresc spre Canada, fără să existe o relație între persoanele în cauză, datele lor PNR și o amenințare pentru siguranța publică.
143. În al doilea rând, Parlamentul ridică problema dacă acordul preconizat prevede criterii obiective care permit să se delimiteze efectiv accesul autorităților canadiene la datele PNR și utilizarea lor ulterioară în scopuri de prevenire, detectare sau urmărire penală cu privire la infracțiuni care pot fi ele însele considerate suficient de grave. Or, criteriile enumerate în proiectul de acord ar fi vagi. Astfel, Parlamentul arată că acordul preconizat nu ar identifica „autoritatea canadiană competentă” care are acces la date și articolul 3 alineatul (2) din acordul preconizat ar face trimitere în privința expresiei „infracțiune gravă” la legislația canadiană fără să existe limite recunoscute de dreptul Uniunii și fără să se precizeze infracțiunile care sunt acoperite de această expresie. De asemenea, articolul 3 alineatul (5) din acordul preconizat ar permite prelucrarea datelor PNR de către „Canada” în alte domenii decât dreptul penal și ar putea permite transferul de date PNR de către „autoritatea canadiană competentă” către alte autorități canadiene, chiar către particulari. Pe de altă parte, articolul 16 alineatul (2) din acordul preconizat nu ar preciza numărul de persoane care au acces la datele PNR, în timp ce accesul autorităților canadiene la aceste date nu ar fi subordonat unui control prealabil efectuat de o instanță sau de o autoritate administrativă independentă.
144. În al treilea rând, Parlamentul invită Curtea să constate că perioada de păstrare a datelor PNR de cinci ani prevăzută la articolul 16 alineatul (5) din acordul preconizat nu este justificată. Această perioadă nu s‑ar întemeia pe criterii obiective și nu ar fi fost furnizată nicio justificare. Această perioadă ar fi fost, pe de altă parte, prelungită în raport cu cea prevăzută în temeiul Acordului din 2006, fără explicații.
145. În al patrulea rând, Parlamentul arată că acordul preconizat nu impune ca datele PNR să fie păstrate pe teritoriul Uniunii. Astfel, controlul respectării cerințelor de protecție și de securitate de către o autoritate independentă, impus în mod explicit de articolul 8 alineatul (3) din cartă și de articolul 16 alineatul (2) TFUE, nu ar fi garantat pe deplin. În acest context, ar exista îndoieli serioase în ceea ce privește problema dacă măsurile care trebuie luate de autoritățile canadiene îndeplinesc cerințele esențiale ale acestor articole. În special, articolul 10 din acordul preconizat nu ar garanta controlul exercitat de o autoritate canadiană independentă și nu ar preciza corespunzător cerințelor legale competențele, inclusiv de control prealabil, de care dispune respectiva autoritate pentru a verifica dacă acestea sunt „adecvate” în sensul dreptului Uniunii.
146. Ca răspuns la întrebările scrise adresate de Curte, Parlamentul a precizat în special că concluziile care decurg din Hotărârea din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650), se aplică mutatis mutandis aprecierii compatibilității acordului preconizat. Acesta adaugă că respectarea efectivă a condițiilor materiale și procedurale referitoare la accesul inițial la datele cu caracter personal ar trebui să se aplice și la transferul ulterior al acestor date și la accesarea lor de către alte autorități canadiene sau de cele ale unor state terțe. Nu aceasta ar fi situația condițiilor prevăzute la articolele 18 și 19 din acordul preconizat. Pe de altă parte, în opinia Parlamentului, redactarea articolului 14 alineatul (2) din acordul preconizat ar fi ambiguă.
2. Sinteza observațiilor celorlalte părți interesate
147. În ceea ce privește celelalte părți interesate, în timp ce, în esență, AEPD, în răspunsurile sale la întrebările scrise adresate de Curte și în observațiile sale orale, împărtășește îndoielile și preocupările exprimate de Parlament, guvernele care au participat la prezenta procedură, precum și Consiliul și Comisia consideră că acordul preconizat este compatibil cu articolul 16 TFUE, cu articolele 7, 8 și cu articolul 52 alineatul (1) din cartă. Observațiile lor privesc în esență ingerința pe care o implică normele prevăzute de acordul preconizat în dreptul fundamental al persoanelor la protecția datelor cu caracter personal și îndeplinirea criteriilor prevăzute la articolul 52 alineatul (1) din cartă (o ingerință „prevăzută de lege”, în scopul atingerii unui obiectiv de interes general recunoscut de Uniune și care este necesară și proporțională pentru atingerea obiectivului respectiv).
148. În primul rând, guvernele eston și francez admit în mod explicit că prevederile acordului preconizat constituie o ingerință în dreptul fundamental la protecția datelor cu caracter personal, garantat de articolul 8 din cartă. Guvernul francez precizează totuși că obligația impusă transportatorilor aerieni de a transfera datele PNR nu ar constitui o asemenea ingerință, întrucât aceasta ar fi prevăzută nu de acordul preconizat, ci de legislația canadiană. Or, Curtea nu poate fi sesizată cu un aviz privind compatibilitatea legislației unui stat terț cu tratatele. Pe de altă parte, același guvern susține că ingerințele conținute în acordul preconizat sunt de mai mică amploare decât cele aflate la originea cauzei în care s‑a pronunțat Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238). Astfel, potrivit guvernului francez, ar fi mai puține date transferate și ar fi mai puține persoane vizate de acordul preconizat decât de directiva în discuție în hotărârea citată anterior. În plus, datele PNR nu ar permite să se deducă concluzii foarte precise cu privire la viața privată a pasagerilor. În sfârșit, acordul preconizat ar prevedea, la articolul 11, o obligație de tranparență astfel încât nu ar fi posibil să se concluzioneze că colectarea datelor PNR și utilizarea lor ulterioară sunt susceptibile să genereze în percepția persoanelor în cauză sentimentul că viața lor privată face obiectul unei supravegheri constante.
149. În al doilea rând, în ceea ce privește problema sursei legale a unei asemenea ingerințe, guvernul eston, Irlanda, guvernele francez și al Regatului Unit, precum și Consiliul și Comisia consideră că această ingerință respectă condiția de a fi „prevăzută de lege” în sensul articolului 52 alineatul (1) din cartă.
150. În al treilea rând, în ceea ce privește obiectivul urmărit de această ingerință, guvernele bulgar, eston, Irlanda, guvernele francez și spaniol, precum și Consiliul și Comisia arată că transferul și utilizarea ulterioară a datelor PNR vizează în special combaterea terorismului și răspund pentru acest motiv unui obiectiv de interes general.
151. În al patrulea rând, în ceea ce privește caracterul necesar al unei asemenea ingerințe, guvernele francez și al Regatului Unit, precum și Consiliul și Comisia subliniază mai întâi că există un număr în creștere de țări terțe care consideră necesar transferul de date PNR în scopuri de securitate publică. Comisia admite că nu există statistici precise care să indice contribuția acestor date la prevenirea și detectarea criminalității și a terorismului, precum și la cercetarea și urmărirea penală în materie. Cu toate acestea, utilizarea indispensabilă a datelor PNR ar fi confirmată de informații provenite de la țări terțe și de la state membre care le utilizează deja în scopuri de aplicare a legii. Experiența dobândită în aceste țări ar demonstra că utilizarea de date PNR a contribuit în special, în mod considerabil, la combaterea traficului de droguri, a traficului de ființe umane și a terorismului și permite să se înțeleagă mai bine componența și funcționarea rețelelor teroriste și a celorlalte rețele criminale. Guvernul Regatului Unit și Comisia adaugă că informațiile furnizate de ASFC demonstrează că datele PNR ar fi contribuit în mod decisiv la reperarea și identificarea unor potențiali suspecți de săvârșirea unor acte de terorism sau a unor infracțiuni transnaționale grave.
152. În al cincilea rând, în ceea ce privește caracterul proporțional al ingerinței în discuție, guvernul eston, Consiliul și Comisia amintesc, în primul rând, cerințele care decurg din jurisprudența Curții, în special cele indicate în Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238). În special, guvernul eston consideră că sunt aplicabile în speță concluziile acestei hotărâri în ceea ce privește întinderea puterii de apreciere a legiuitorului și a controlului jurisdicțional al limitelor acestei puteri. În schimb, Irlanda arată că trebuie să se țină seama de caracterul internațional și negociat al actului în discuție, în timp ce guvernul francez susține că puterea de apreciere a legiuitorului Uniunii nu poate fi excesiv de limitată având în vedere faptul că ingerința în discuție în speță nu este deosebit de gravă. Guvernul Regatului Unit consideră că securitatea și siguranța publică ar ridica, prin chiar natura lor, probleme pentru care ar trebui să se recunoască legiuitorului o „marjă discreționară rezonabilă” pentru a stabili dacă o măsură este vădit inadecvată. Acordul preconizat nu poate fi calificat drept „dispoziție de supraveghere generală”, ci s‑ar asocia mai degrabă cu procedurile obișnuite de control la frontiere.
153. În al doilea rând, guvernele bulgar, eston, Irlanda, guvernele spaniol, francez și al Regatului Unit, precum și Consiliul și Comisia susțin de asemenea că acordul preconizat respectă principiul proporționalității. Guvernul Regatului Unit arată mai întâi că, în lipsa acordului preconizat, măsurile în privința pasagerilor care provin din Uniune riscă să fie mai puțin particularizate și mai intruzive. Datele PNR ar permite particularizarea mai efectivă și eficientă a „persoanelor de interes” care călătoresc către evenimente sau locuri precise, permițând astfel reducerea controalelor de securitate și a timpilor de așteptare pentru ceilalți pasageri. În continuare, aceste guverne și aceste instituții consideră în esență că acordul preconizat se distinge de directiva aflată la originea cauzei Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238). În special, spre deosebire de directiva menționată, acordul preconizat ar conține norme stricte privind condițiile de acces și de utilizare a datelor, precum și norme referitoare la securitatea datelor și controlul exercitat de o autoritate independentă. În plus, acordul preconizat ar prevedea o supraveghere a respectării acestor norme, informarea persoanelor în cauză în ceea ce privește transferul și prelucrarea datelor lor, o procedură de acces și de rectificare a datelor, precum și căi de atac administrative și judiciare în vederea asigurării garantării acestor drepturi.
154. În ceea ce privește argumentul Parlamentului potrivit căruia acordul preconizat nu impune nicio relație între datele PNR și o amenințare pentru securitatea publică, guvernele eston, francez și al Regatului Unit, precum și Comisia susțin în esență că utilizarea datelor PNR urmărește identificarea persoanelor despre care serviciile competente nu au știut până atunci că prezintă un eventual risc pentru securitate, persoanele cunoscute în această privință putând fi identificate pe baza informațiilor prealabile cu privire la călători (API). Obiectivul de prevenire nu ar putea fi astfel atins în cazul în care ar fi transmise doar datele PNR privind persoanele suspecte deja semnalate.
155. În al treilea rând, conform acestor părți interesate, criticile adresate de Parlament și de AEPD în ceea ce privește redactarea și omisiunile acordului preconizat ar trebui să fie de asemenea respinse.
156. Astfel, potrivit Consiliului și Comisiei, faptul că articolul 3 alineatul (3) din acordul preconizat face trimitere la dreptul canadian nu permite să se concluzioneze că este prea vag. Ar fi dificil să se includă într‑un acord internațional o definiție a unui act care ține de calificarea drept „infracțiune gravă” care este prevăzută exclusiv de dreptul Uniunii. De asemenea, în ceea ce privește articolul 3 alineatul (5) litera (b) din acordul preconizat, aceste instituții arată că dispoziția menționată reflectă obligația impusă de Constituția canadiană tuturor autorităților publice canadiene de a se conforma unei ordini judiciare. În plus, eventuala posibilitate de acces la datele PNR ar fi fost examinată, într‑un asemenea caz, de autoritatea judiciară în raport cu criteriile de necesitate și de proporționalitate și ar fi motivată în ordonanța instanței.
157. În plus, în ceea ce privește limitele referitoare la autoritățile și persoanele care au acces la datele PNR, Consiliul și Comisia consideră că neidentificarea autorității canadiene competente în acordul preconizat este o chestiune de natură procedurală care nu are incidență asupra principiului proporționalității. În orice caz, autoritatea canadiană competentă, în sensul articolului 2 litera (d) din acordul preconizat, ar fi fost notificată Comisiei în luna iunie 2014. Ar fi vorba despre ASFC, care ar fi singura autorizată să primească și să prelucreze date PNR. „[N]umăr[ul] limitat de funcționari pe care îi autorizează în mod specific”, prevăzut la articolul 16 alineatul (2) din acordul preconizat, ar însemna că trebuie să fie vorba despre funcționari ai ASFC și că aceștia trebuie să fie autorizați să prelucreze datele PNR. Garanții suplimentare ar figura la articolul 9 alineatul (2) literele (a) și (b) și alineatele (4) și (5) din acordul preconizat.
158. Pe de altă parte, în ceea ce privește absența unui control prealabil accesului la date PNR, Comisia arată că însuși obiectul acordului preconizat ar fi de a permite transferul de date PNR către ASFC în vederea accesului la aceste date astfel încât un asemenea control prealabil ar schimba acest obiect. Irlanda adaugă că un asemenea control prealabil nu se impune, întrucât acordul preconizat prevede limitarea la strictul necesar a numărului de persoane care dispune de autorizație de acces la datele în discuție și de a le utiliza și asigură o serie de garanții suplimentare la articolele 11-14, 16, 18 și 20.
159. În plus, în ceea ce privește problema păstrării datelor PNR, Irlanda menționează mai întâi că, având în vedere faptul că, potrivit articolului 5 din acordul preconizat, autoritatea canadiană competentă se consideră că asigură un nivel adecvat de protecție a datelor PNR și că ar exista o supraveghere de către o autoritate independentă, nu ar fi necesar, spre deosebire de situația care reglementează directiva aflată la originea Hotărârii din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), ca datele să fie păstrate pe teritoriul Uniunii. În continuare, potrivit Consiliului și Comisiei, perioada de păstrare de cinci ani prevăzută la articolul 16 din acordul preconizat nu ar depăși ceea ce este strict necesar în raport cu obiectivul de siguranță publică urmărit și, în consecință, nu poate fi apreciată în mod abstract. Perioada de trei ani și jumătate, prevăzută în Acordul din 2006, ar fi împiedicat în mod semnificativ autoritățile canadiene să utilizeze în mod efectiv datele PNR pentru a detecta cazurile care prezintă un risc ridicat de terorism sau de crimă organizată, având în vedere faptul că investigațiile referitoare la acestea ar necesita timp. Pe de altă parte, potrivit Consiliului, perioada de păstrare a datelor PNR ar fi fost stabilită ținând seama de perioada medie a cercetării penale, de durata medie de existență a rețelelor de criminalitate organizată și de faptul că celulele teroriste pot deveni inactive un anumit număr de ani. Guvernul eston, Irlanda și guvernul francez adaugă că, dată fiind natura complexă și dificilă a cercetărilor privind faptele de terorism și infracțiuni transnaționale grave, perioada care se scurge între călătorie și momentul în care autoritățile pentru aplicarea legii au nevoie de acces la date PNR pentru a detecta, a cerceta și a urmări penal astfel de infracțiuni se poate întinde pe mai mulți ani. În răspunsurile lor la întrebările scrise adresate de Curte, guvernele spaniol și francez furnizează de asemenea o serie de exemple concrete în care procesul de verificare și de comparare de informații se înscrie într‑o perioadă de aproximativ cinci ani și pentru care datele PNR au fost și ar fi putut fi de mare utilitate. Guvernul eston, Irlanda, guvernul francez, precum și Consiliul și Comisia subliniază de asemenea în esență că articolul 16 din acordul preconizat cuprinde modalități stricte în ceea ce privește mascarea (sau depersonalizarea) și demascarea datelor care urmăresc să protejeze într‑o mai mare măsură datele cu caracter personal ale pasagerilor aerieni.
160. În sfârșit, în ceea ce privește controlul respectării normelor de protecție a datelor de către o autoritate independentă, impus de articolul 8 alineatul (3) din cartă și de articolul 16 alineatul (2) TFUE, Consiliul și Comisia consideră că faptul că acordul preconizat nu ar identifica autoritatea canadiană competentă nu ar pune în discuție caracterul adecvat al măsurilor care trebuie luate de Canada. Identitatea autorităților competente în temeiul articolelor 10 și 14 din acordul preconizat ar fi fost comunicată Comisiei. Ar fi vorba despre Comisarul pentru Protecția Vieții Private canadian și despre Direcția de recurs a ASFC. Aceste autorități ar îndeplini condiția independenței care le permite să își exercite misiunile fără să fie supuse unei influențe externe, chiar dacă Direcția de recurs a ASFC ar fi o „autoritatea creată prin mijloace administrative”, în sensul articolelor 10 și 14 din acordul preconizat. Direcția de recurs a ASFC ar fi, în conformitate cu explicațiile furnizate de autoritățile canadiene, o autoritate independentă și însărcinată cu examinarea plângerilor și a căilor de atac administrative introduse de străinii care nu locuiesc în Canada. Pe de altă parte, potrivit Comisiei, deciziile acestei autorități ar putea fi contestate în fața Comisarului pentru Protecția Vieții Private canadian prin intermediul unei persoane care locuiește în Canada.
161. În al șaselea rând, în răspunsurile lor la întrebările scrise adresate de Curte, precum și în ședință, guvernul Regatului Unit, Consiliul și Comisia au furnizat anumite precizări cu privire la conținutul a 19 categorii de date PNR care figurează în anexa la acordul preconizat. În special, potrivit Comisiei, doar a 17-a rubrică, intitulată „observații generale, inclusiv alte informații suplimentare (Other Supplementary Information – OSI), informații privind serviciile speciale (Special Service Information – SSI) și informații privind cereri ale serviciilor speciale (Special Service Request – SSR)”, ar conține date sensibile, în sensul acordului preconizat. Aceste din urmă date vor fi transmise numai în mod facultativ, întrucât pot să fie evidențiate doar în cadrul rezervării serviciilor suplimentare solicitate de călător și, potrivit Regatului Unit, nu vor putea fi consultate decât în circumstanțe excepționale, potrivit prevederilor acordului preconizat. În plus, guvernul francez a arătat că concluziile Hotărârii din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650), nu sunt aplicabile examinării compatibilității acordului preconizat cu tratatele, în timp ce Irlanda consideră că această hotărâre furnizează informații semnificative în ceea ce privește nivelul de protecție adecvat pe care trebuie să îl îndeplinească o țară terță. În ceea ce privește Consiliul și Comisia, aceste instituții împărtășesc opinia potrivit căreia doar punctele 91-93 și 95 din această hotărâre, care privesc interpretarea cartei, sunt aplicabile în cadrul examinării compatibilității acordului preconizat. În schimb, aceste instituții consideră că examinarea acordului preconizat ar trebui să conducă la o concluzie diferită de cea la care a ajuns Curtea în acea hotărâre. În sfârșit, în ceea ce privește divulgarea ulterioară prevăzută la articolele 18 și 19 din acordul preconizat, Irlanda, Consiliul și Comisia amintesc că această divulgare este subordonată unor condiții stricte și respectării finalităților prevăzute la articolul 3 din acordul preconizat. Pe de altă parte, Comisia subliniază că articolul 19 din acordul preconizat ar trebui interpretat în lumina reglementării canadiene relevante.
B – Analiză
1. Observații introductive
162. Înainte de a aborda esența primei întrebări care face obiectul cererii de aviz a Parlamentului, considerăm că trebuie făcute trei observații introductive în ceea ce privește întinderea examinării care trebuie efectuată.
163. Mai întâi, astfel cum reiese din observațiile lor, părțile interesate au făcut trimitere în mai multe rânduri pe parcursul procedurii la reglementarea și la practica canadiană, în special pentru a explica, chiar pentru a completa, unele dintre prevederile acordului preconizat. Or, este evident că, pentru a examina compatibilitatea unui acord preconizat cu dreptul primar al Uniunii în cadrul procedurii prevăzute la articolul 218 alineatul (11) TFUE, Curtea nu se poate pronunța cu privire la reglementarea sau practica unei țări terțe. Examinarea Curții poate privi doar prevederile acordului preconizat astfel cum i‑au fost prezentate.
164. Oricât de inteligibilă și de logică ar fi această limită materială a controlului jurisdicțional în cadrul procedurii de aviz, ea nu poate însă înlătura anumite dificultăți. Astfel, în timp ce este cert că acordul preconizat trebuie să ofere autorităților canadiene în special un cadru juridic care să permită, grație analizei datelor PNR, aplicarea metodelor referitoare la identificarea pasagerilor necunoscuți până atunci de serviciile de aplicare a legii, pe baza schemelor de comportamente „care preocupă” sau care prezintă un „interes”(55), niciuna dintre prevederile acordului preconizat nu se referă la stabilirea metodelor respective, la dreptul fiecărui pasager „individualizat” de a putea să fie informat cu privire la metodele utilizate și de a‑i se garanta că asemenea metode de „individualizare” sunt supuse unui control administrativ și/sau jurisdicțional, probleme care par să fie toate la simpla discreție a autorităților canadiene(56). Or, este legitim, în opinia noastră, să se ridice problema dacă, în raport cu respectarea articolelor 7 și 8 din cartă, aceste probleme și aceste garanții nu ar trebui să fie reglementate chiar de prevederile acordului preconizat. Acest exemplu demonstrează că una dintre dificultățile din prezenta cauză se referă la împrejurarea că aceasta presupune să se verifice, în special în raport cu dreptul la protecția datelor cu caracter personal, nu doar ceea ce prevede acordul preconizat, ci mai ales ceea ce a omis să prevadă.
165. În continuare, trebuie să se arate că cererea de aviz a Parlamentului s‑a limitat la evidențierea unui anumit număr de prevederi ale acordului preconizat care, conform acestei instituții, ar prezenta profiluri, mai mult sau mai puțin clare și absolute, de incompatibilitate cu articolul 16 TFUE și cu articolele 7, 8 și cu articolul 52 alineatul (1) din cartă. Având în vedere finalitatea preventivă a procedurii de aviz și caracterul necontencios al acesteia, Curtea nu poate fi obligată să respecte o asemenea limitare a cererii, fie că este intenționată sau neintenționată. Avizul 1/00 din 18 aprilie 2002 (EU:C:2002:231, punctul 1), în care Curtea a integrat la examinarea compatibilității unui acord preconizat mai multe norme ale acestui acord care nu făceau în mod expres obiectul cererii de aviz formulate de Comisie, și Avizul 1/08 din 30 noiembrie 2009 (EU:C:2009:739, punctele 96-105), în care Curtea a refuzat propunerea solicitantului de a limita examinarea la anumite părți din proiectul de acord în discuție care făcea obiectul cererii de aviz, furnizează deja exemple excelente în acest sens.
166. În prezenta procedură, considerăm că este adecvat ca Curtea să includă în examinarea sa compatibilitatea prevederilor acordului preconizat, precum articolele 18 și 19 din acesta, care nu au făcut obiectul unor critici specifice din partea Parlamentului în cererea sa de aviz, dar care merită atenția Curții. Adăugăm că Parlamentul European și celelalte părți interesate au avut ocazia să formuleze observații cu privire la aceste articole, fie în cadrul răspunsurilor lor la întrebările scrise adresate de Curte, fie în ședința în fața acesteia.
167. În sfârșit, având în vedere dezbaterile care s‑au desfășurat în fața Curții, considerăm că este util să se amintească faptul că, în temeiul articolului 218 alineatul (11) TFUE, normele în privința cărora poate fi efectuată examinarea compatibilității acordului preconizat includ numai normele dreptului primar al Uniunii, și anume, în speță, tratatele și drepturile enumerate în cartă(57), cu excluderea dreptului derivat. În această privință, niciun element nu se opune ca Curtea să includă în examinarea validității materiale a acordului preconizat dispoziții de drept primar care nu sunt menționate în întrebarea adresată de Parlament, precum articolul 47 din cartă, în cazul în care acest lucru se dovedește necesar în vederea procedurii de aviz, iar părțile interesate au avut ocazia să facă observații cu privire la aceste dispoziții. Aceasta este într‑adevăr situația în ceea ce privește respectarea controlului jurisdicțional efectiv garantat de articolul 47 din cartă.
168. După efectuarea acestor observații, considerațiile care urmează se articulează în esență în jurul unor criterii de aplicare a articolelor 7, 8 și a articolului 52 alineatul (1) din cartă. Deși aceasta nu se contestă în mod fundamental, vom examina dacă prevederile acordului preconizat constituie o ingerință în drepturile fundamentale la viață privată și la protecția datelor cu caracter personal și dacă această ingerință poate fi justificată. În mod evident, examinarea justificării ingerinței, în mod deosebit proporționalitatea acesteia, se dovedește controversată.
2. Cu privire la existența unei ingerințe în drepturile garantate de articolele 7 și 8 din cartă
169. Fără să fie nevoie să se examineze în mod individual și exhaustiv cele 19 categorii de date PNR enumerate în anexa la acordul preconizat, este cert că acestea privesc în special identitatea, cetățenia și adresa pasagerilor, toate datele de contact (adresa de domiciliu, adresa de e‑mail, telefon) disponibile cu privire la pasagerul care a efectuat rezervarea, informațiile referitoare la modalitatea de plată utilizată, inclusiv, dacă este cazul, numărul cardului de credit care a servit la rezervarea zborului, informațiile referitoare la bagaje, obiceiurile de călătorie ale pasagerilor, precum și cele referitoare la serviciile suplimentare solicitate de aceștia din urmă cu privire la eventualele lor probleme de sănătate, inclusiv de mobilitate, sau preferințele lor alimentare în timpul zborului, care sunt susceptibile să furnizeze informații în special în ceea ce privește starea de sănătate a unuia sau a mai mulți pasageri, originea lor etnică sau convingerile lor religioase.
170. Aceste date, luate în ansamblu, privesc sfera vieții private, chiar intime, a persoanelor și se raportează, în mod incontestabil, la una sau la mai multe „persoan(e) fizic(e) identificat[e] sau identificabil[e]”(58). Prin urmare, nu avem îndoieli, în raport cu jurisprudența Curții, că transmiterea sistematică a datelor PNR autorităților publice canadiene, accesul la aceste date și utilizarea și păstrarea pentru o perioadă de cinci ani a acestor date de către aceleași autorități publice, precum și, dacă este cazul, transferul lor ulterior în favoarea altor autorități publice, inclusiv din alte țări terțe, în temeiul prevederilor acordului preconizat, sunt operațiuni care intră în domeniul de aplicare al dreptului fundamental la respectarea vieții private și de familie garantat de articolul 7 din cartă, precum și al dreptului, „strâns legat”(59), dar totuși distinct, privind protecția datelor cu caracter personal garantat de articolul 8 alineatul (1) din cartă și constituie o ingerință în aceste drepturi fundamentale.
171. Astfel, Curtea a statuat deja, în ceea ce privește articolul 8 din CEDO, pe care se întemeiază articolele 7 și 8 din cartă(60), că comunicarea datelor cu caracter personal către un terț, în speță către o autoritate publică, are caracterul unei ingerințe în sensul acestui articol(61) și că obligația de păstrare a datelor, impusă de autoritățile publice, precum și accesul ulterior al autorităților naționale competente la datele referitoare la viața privată constituie de asemenea per se o ingerință în drepturile garantate de articolul 7 din cartă(62). De asemenea, un act al Uniunii care prevede orice formă de prelucrare a datelor cu caracter personal constituie o ingerință în dreptul fundamental, enunțat la articolul 8 din cartă, la protecția unor astfel de date(63). Această apreciere se aplică, mutatis mutandis, în privința unui act al Uniunii care ia forma unui acord internațional încheiat de aceasta din urmă, precum acordul preconizat, care urmărește printre altele să permită uneia sau mai multor autorități publice dintr‑o țară terță să prelucreze și să păstreze datele cu caracter personal ale pasagerilor aerieni. Astfel, legalitatea unui asemenea act este condiționată de respectarea drepturilor fundamentale protejate în ordinea juridică a Uniunii(64), în special a celor garantate de articolele 7 și 8 din cartă.
172. Circumstanța, evidențiată de guvernul Regatului Unit, potrivit căreia persoanele vizate de acordul preconizat sau cel puțin marea lor majoritate nu ar suferi dezavantaje ca urmare a acestei ingerințe are puțină relevanță pentru a stabili existența unei asemenea ingerințe(65).
173. În mod similar, este irelevant faptul că este posibil ca informațiile comunicate sau, cel puțin, majoritatea acestora să nu prezinte un caracter sensibil(66).
174. De altfel, subliniem că părțile contractante sunt perfect conștiente de ingerința pe care o implică transmiterea, utilizarea, păstrarea și transferul ulterior de date PNR prevăzute de acordul preconizat întrucât, astfel cum reiese în mod expres din preambulul său, tocmai din cauza acestei ingerințe, acordul menționat încearcă să concilieze cerințele privind siguranța publică și respectarea drepturilor fundamentale la protecția vieții private și a datelor cu caracter personal.
175. Într‑adevăr, efortul de a realiza o asemenea conciliere de către părțile contractante poate reduce intensitatea sau gravitatea ingerinței pe care o implică acordul preconizat în drepturile fundamentale garantate de articolele 7 și 8 din cartă.
176. Nu este mai puțin adevărat că ingerința pe care o implică acordul preconizat are o amploare certă și o gravitate care nu poate fi neglijată. Astfel, pe de o parte, aceasta privește, în mod sistematic, toți pasagerii care efectuează curse aeriene între Canada și Uniune, cu alte cuvinte mai multe zeci de milioane de persoane pe an(67). Pe de altă parte, astfel cum au confirmat majoritatea părților interesate, nu este exclus ca transferul unor cantități semnificative de date cu caracter personal ale pasagerilor aerieni, printre care figurează date sensibile, care necesită, prin definiție, prelucrarea lor automată, precum și păstrarea acestor date pe o perioadă de cinci ani urmăresc să permită o comparație, după caz retrospectivă, a acestor date cu scheme prestabilite de comportamente „de risc” sau „care preocupă”, în legătură cu activități de terorism și/sau infracțiuni transnaționale grave, pentru a identifica persoane necunoscute până atunci de serviciile de poliție sau care nu sunt suspectate. Or, aceste caracteristici, aparent inerente sistemului PNR instituit prin acordul preconizat, sunt susceptibile să creeze falsa impresie că toți călătorii vizați sunt transformați în suspecți potențiali(68).
177. Trebuie să se adauge totuși că, spre deosebire de Parlament, această constatare nu ne pare a trebui să se extindă la colectarea datelor PNR de către transportatorii aerieni.
178. Astfel, acordul preconizat nu reglementează colectarea acestor date, ci se întemeiază pe prezumția de drept și de fapt că transportatorii aerieni colectează oricum datele PNR pentru propriul uz comercial. Desigur, nu se poate contesta că anumite prevederi ale acordului preconizat evocă colectarea datelor PNR. Astfel, articolul 4 alineatul (2) prevede că Canada nu solicită unui transportator aerian să furnizeze elemente ale datelor PNR care nu sunt deja colectate sau deținute de transportatorul aerian. De asemenea, articolul 11 din acordul preconizat impune Canadei să asigure faptul că autoritatea canadiană competentă publică pe site‑ul său internet în special „motivul pentru care se colectează datele PNR”, fiind necesar ca părțile contractante să conlucreze de asemenea, în special cu sectorul transportului aerian, pentru a promova transparența, „de preferință în momentul efectuării rezervării” zborurilor, furnizând călătorilor „motivele pentru colectarea datelor PNR”. În cazul în care o asemenea obligație de transparență ar putea fi consolidată, în opinia noastră, în mod oportun, prin prevederea ca o informare individuală cu privire la motivele pentru colectare să fie furnizată în mod sistematic în momentul rezervării zborurilor, nu este mai puțin adevărat că acordul autorizat nu soluționează operațiunea de colectare propriu‑zisă și nici modalitățile sale specifice, care țin toate de competența transportatorilor aerieni, care trebuie să acționeze în această privință cu respectarea dispozițiilor naționale relevante și ale dreptului Uniunii.
179. Prin urmare, colectarea datelor PNR nu constituie o prelucrare a datelor cu caracter personal care implică o ingerință în drepturile fundamentale garantate de articolele 7 și 8 din cartă care rezultă chiar din acordul preconizat. Având în vedere competența limitată a Curții în cadrul procedurii de aviz, această operațiune nu va face, așadar, obiectul considerațiilor următoare.
180. Independent de această constatare referitoare la colectarea datelor PNR, nu este mai puțin adevărat că, pentru motivele prezentate la punctele 170-176 din prezentele concluzii, acordul preconizat implică, în opinia noastră, o ingerință gravă în drepturile fundamentale garantate de articolele 7 și 8 din cartă. Pentru a fi autorizată, această ingerință trebuie să fie justificată.
3. Cu privire la justificarea ingerinței în drepturile garantate de articolele 7 și 8 din cartă
181. Nici dreptul la respectarea vieții private și de familie, nici dreptul la protecția datelor cu caracter personal nu apar ca prerogative absolute.
182. Astfel, articolul 52 alineatul (1) din cartă admite că pot fi impuse restrângeri ale exercițiului unor drepturi precum cele consacrate la articolul 7 și la articolul 8 alineatul (1) din aceasta, cu condiția ca aceste restrângeri să fie prevăzute de lege, să respecte substanța acestor drepturi și, prin respectarea principiului proporționalității, să fie necesare și să răspundă efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți.
183. Pe de altă parte, articolul 8 alineatul (2) din cartă permite prelucrarea datelor cu caracter personal „în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege”.
184. Să remarcăm de la bun început, în privința uneia dintre condițiile enumerate la articolul 8 alineatul (2) din cartă, că acordul preconizat nu urmărește să constituie temeiul prelucrării datelor PNR transmise autorității canadiene competente pe baza consimțământului pasagerilor aerieni(69). Având în vedere obligația stabilită în sarcina transportatorilor aerieni de a transmite categoriile de date PNR care figurează în anexa la acordul preconizat, acești pasageri nu se pot opune transferului datelor respective în cazul în care doresc să se deplaseze pe cale aeriană în Canada. În plus, circumstanța, evocată în ședința în fața Curții, potrivit căreia anumite date PNR, care conțin, după caz, date sensibile, pot fi comunicate exclusiv transportatorului aerian atunci când călătorul solicită prestarea de servicii specifice nu înseamnă nicidecum că acest călător a consimțit la prelucrarea acestor date de către autoritatea canadiană competentă în sensul articolului 3 din acordul preconizat.
185. În plus, nu s‑a susținut în fața Curții și nu ne pare nici că ingerința conținută în acordul preconizat este de natură să aducă atingere „substanței”, în sensul articolului 52 alineatul (1) din cartă, a drepturilor fundamentale consacrate la articolul 7 și la articolul 8 alineatul (1) din aceasta.
186. Astfel, pe de o parte, natura datelor PNR care fac obiectul acordului preconizat nu permite să se deducă concluzii precise cu privire la substanța vieții private a persoanelor în cauză. Acestea rămân limitate la obiceiurile de călătorie aeriană între Canada și Uniune. În plus, acordul preconizat prevede la articolele 8, 16, 18 și 19 o serie de garanții referitoare la mascarea și la depersonalizarea progresivă a datelor PNR care au fost comunicate autorităților canadiene, utilizate și păstrate de acestea și, după caz, ulterior transferate, care are în esență drept obiect asigurarea respectării vieții private.
187. Pe de altă parte, în ceea ce privește substanța protecției datelor cu caracter personal, trebuie să se arate că, în temeiul articolului 9 din acordul preconizat, Canada trebuie printre altele să „asigur[e] protecția, securitatea, confidențialitatea și integritatea datelor”, precum și să pună în aplicare „măsuri de reglementare, procedurale sau tehnice pentru a proteja datele PNR împotriva accesării, prelucrării sau pierderii accidentale, ilegale sau neautorizate a acestora”. În plus, orice încălcare a securității datelor trebuie să poată face obiectul unor măsuri corective eficiente și disuasive, însoțite eventual de sancțiuni.
188. Prin urmare, trebuie să se verifice dacă celelalte condiții de justificare prevăzute de articolul 8 alineatul (2) din cartă, precum și cele enunțate la articolul 52 alineatul (1) din aceasta, care sunt confirmate de altfel în parte, sunt îndeplinite.
189. Nu vom insista peste măsură asupra a două dintre aceste condiții, și anume, pe de o parte, cea potrivit căreia ingerința trebuie să fie „prevăzută de lege” [litera (a) de mai jos] și, pe de altă parte, să răspundă unui obiectiv de interes general [sau unui „motiv legitim”, conform expresiei utilizate de articolul 8 alineatul (2) din cartă] [litera (b) de mai jos], care ne par în mod evident îndeplinite. În schimb, mai elaborate vor fi considerațiile consacrate problemei proporționalității ingerinței [litera (c) de mai jos].
a) O ingerință „prevăzută de lege”, în sensul articolului 52 alineatul (1) din cartă
190. În ceea ce privește primul punct, îndoielile în principal formale exprimate de Parlament în ceea ce privește originea „legală” a ingerinței pot fi înlăturate în mod evident. Potrivit jurisprudenței Curții Europene a Drepturilor Omului, expresia „prevăzută de lege”, enunțată la articolul 8 alineatul (2) din CEDO, înseamnă în special că măsura în discuție are un temei în dreptul intern(70) și trebuie înțeleasă în accepțiunea sa materială, și nu formală(71). Curtea Europeană a Drepturilor Omului admite astfel că normele nescrise îndeplinesc această condiție(72). În plus, Curtea Europeană a Drepturilor Omului a statuat deja că un tratat internațional, încorporat în dreptul intern național, răspunde de asemenea acestei cerințe(73).
191. La fel ca și Curtea Europeană a Drepturilor Omului, Curtea consacră o accepțiune materială, și nu formală a expresiei „prevăzută de lege”, care figurează la articolul 52 alineatul (1) din cartă. Astfel, aceasta a considerat condiția menționată ca fiind îndeplinită în cazul restrângerilor aduse drepturilor garantate de articolele 7 și 8 din cartă de dispozițiile regulamentelor Uniunii, adoptate de Comisie(74) și, respectiv, de Consiliu(75), fără ca, prin urmare, Parlamentul să fi fost asociat în calitate de „colegiuitor” la adoptarea acestor acte.
192. În speță, este cert că actul de încheiere a acordului preconizat poate fi adoptat de Consiliu numai dacă, în temeiul articolului 218 alineatul (6) litera (a) punctul (v) TFUE, acordul preconizat este aprobat în prealabil de Parlament, întrucât acest acord acoperă domenii, și anume cele privind cooperarea polițienească și păstrarea datelor cu caracter personal, cărora li se aplică procedura legislativă ordinară. Odată cu îndeplinirea acestor proceduri, potrivit articolului 216 alineatul (2) TFUE, acordul va face parte integrantă din ordinea juridică a Uniunii și va beneficia de supremație față de actele de drept derivat(76). Rezultă, în opinia noastră, că ingerința care decurge din acordul preconizat este într‑adevăr „prevăzută de lege”, în sensul articolului 52 alineatul (1) din cartă.
193. Tot în această privință, trebuie să adăugăm, chiar dacă aceasta nu a făcut obiectul unor dezbateri între părțile interesate în prezenta procedură, că, în general, acordul preconizat ne pare să răspundă de asemenea celui de al doilea aspect acoperit de expresia „prevăzută de lege” în sensul articolului 8 din CEDO, astfel cum a fost interpretat de Curtea Europeană a Drepturilor Omului, și anume cel privind „calitatea legii”. Potrivit jurisprudenței Curții Europene a Drepturilor Omului, această expresie impune, în esență, ca măsura în discuție să fie accesibilă și suficient de previzibilă, respectiv, cu alte cuvinte, ca aceasta să utilizeze termeni destul de clari pentru a indica tuturor în mod suficient în ce circumstanțe și în ce condiții aceasta autorizează autoritatea publică să recurgă la măsuri care le afectează drepturile lor protejate de CEDO(77). Or, odată încheiat, acordul preconizat va fi publicat integral în Jurnalul Oficial al Uniunii Europene, ceea ce îndeplinește în mod vădit criteriul accesibilității. În ceea ce privește criteriul previzibilității, făcându‑se abstracție de considerații specifice, desigur numeroase, referitoare la conținutul și gradul de precizie și de claritate a mai multe prevederi ale acordului preconizat, care vor fi dezvoltate ulterior(78), considerăm de asemenea că, în mod global, acordul preconizat este formulat într‑un mod destul de clar pentru a permite tuturor persoanelor în cauză să înțeleagă, în mod suficient, condițiile și circumstanțele în care datele PNR sunt transferate autorităților canadiene, prelucrate, păstrate și eventual divulgate ulterior de către acestea din urmă și să își adapteze comportamentul în consecință. În plus, articolul 11 din acordul preconizat prevede o serie de măsuri suplimentare care trebuie să fie adoptate de părțile contractante și care permit să se asigure informarea publicului privind printre altele motivele pentru colectarea datelor PNR, precum și utilizarea și divulgarea lor.
b) O ingerință care răspunde unui obiectiv de interes general
194. Ingerința care decurge din acordul preconizat pare să răspundă în mod cert unui obiectiv de interes general, în sensul articolului 52 alineatul (1) din cartă, și anume obiectivul combaterii terorismului și infracțiunilor transnaționale grave, pentru a garanta siguranța publică, astfel cum s‑a precizat în special în preambul și la articolele 1 și 3 din acordul preconizat. Niciuna dintre părțile interesate nu a contestat legitimitatea urmăririi unui asemenea obiectiv prin acordul preconizat. Într‑o formulare puțin diferită, caracterul de interes general al acestui obiectiv în vederea aplicării articolul 52 alineatul (1) din cartă a fost recunoscut deja de altfel de către Curte în jurisprudența sa(79).
195. Prin urmare, trebuie să se verifice în acest stadiu dacă ingerința în drepturile garantate de articolul 7 și de articolul 8 alineatul (1) din cartă este proporțională cu obiectivul legitim urmărit.
c) Cu privire la proporționalitatea ingerinței pe care o implică acordul preconizat
i) Considerații generale
196. Rezultă dintr‑o jurisprudență constantă că principiul proporționalității impune ca actele instituțiilor Uniunii să fie apte să realizeze obiectivele urmărite de reglementarea în cauză și să nu depășească limitele privind ceea ce este adecvat și necesar pentru realizarea acestor obiective(80).
197. În această privință, părțile interesate au dezbătut mai întâi întinderea controlului jurisdicțional al respectării acestor condiții. În timp ce Parlamentul, guvernul eston și AEPD susțin necesitatea unui control strict al respectării acestor condiții, în același mod în care Curtea a admis în Hotărârile din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), precum și din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650), Irlanda, guvernele francez și al Regatului Unit susțin în special în esență ideea potrivit căreia Curtea ar trebui să limiteze întinderea controlului său, acordând o marjă de apreciere mai largă instituțiilor, atunci când trebuie să se adopte un act care se inserează în contextul relațiilor internaționale și având în vedere caracterul limitat al ingerinței pe care o implică acest act.
198. Teza acestor din urmă părți interesate nu ne convinge.
199. Desigur, suntem pregătiți să admitem că întinderea marjei de apreciere a instituțiilor se poate dovedi diferită după cum este avută în vedere adoptarea unui act de drept privat al Uniunii sau încheierea unui acord internațional, care implică, prin definiție, negocierea cu una sau cu mai multe țări terțe. Este evident că, în contextul specific al datelor PNR comunicate unor țări terțe în scopul prelucrării lor, este, desigur, mai oportun să se încheie un acord internațional care asigură pasagerilor aerieni, cetățeni ai Uniunii, o protecție suficientă a vieții private și a datelor cu caracter personal, corespunzătoare, pe cât posibil, cu cerințele dreptului Uniunii, mai degrabă decât să se lase la dispoziția fiecăreia dintre țările terțe în cauză libertatea totală de a aplica în mod unilateral propria legislație națională.
200. Deși aceste considerații necesită să fie păstrate în minte, Curtea nu poate renunța totuși la exercitarea unui control strict al respectării cerințelor care decurg din principiul proporționalității și în mod specific din caracterul adecvat al nivelului de protecție a drepturilor fundamentale garantate în Uniune atunci când Canada prelucrează și utilizează date PNR, în temeiul acordului preconizat.
201. Astfel, necesitatea de a asigura un control jurisdicțional de această natură se întemeiază, pe de o parte, pe rolul important pe care îl are protecția datelor cu caracter personal în lumina dreptului fundamental la respectarea vieții private și, pe de altă parte, pe amploarea și gravitatea ingerinței aduse acestui drept(81), ceea ce poate include numărul important de persoane ale căror drepturi fundamentale sunt susceptibile să fie încălcate în caz de transfer al datelor cu caracter personal către o țară terță(82). Or, astfel cum am indicat deja, ingerința pe care o implică acordul preconizat în drepturile garantate de articolele 7 și 8 din cartă este, în opinia noastră, de o amploare certă și de o gravitate care nu poate fi neglijată.
202. În același sens, reiese din Hotărârea din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650, punctele 72 și 78), că instituțiile dispun de o putere de apreciere redusă cu privire la caracterul adecvat al nivelului de protecție asigurat de o țară terță către care sunt transferate date cu caracter personal, ceea ce implică o supraveghere strictă a continuității nivelului ridicat al protecției datelor cu caracter personal, prevăzută în dreptul Uniunii.
203. Or, chiar dacă, astfel cum am arătat deja, acordul preconizat nu se poate reduce la o decizie prin care se constată că autoritatea canadiană competentă asigură un nivel de protecție adecvat, articolul 5 din acordul preconizat prevede efectiv că, în măsura în care se conformează cu prevederile acordului menționat, autoritatea canadiană competentă se consideră că asigură un nivel adecvat de protecție, în sensul legislației Uniunii în domeniul protecției datelor, în ceea ce privește prelucrarea și utilizarea datelor PNR. Intenția părților contractante este într‑adevăr de a garanta că nivelul ridicat de protecție a datelor cu caracter personal atins în Uniune poate fi asigurat atunci când datele PNR sunt transferate în Canada. Având în vedere această intenție, nu vedem niciun motiv care ar justifica neefectuarea de către Curte a unui control strict al respectării principiului proporționalității.
204. Desigur, la fel cum a admis Curtea la punctul 74 din Hotărârea din 6 octombrie 2015, Schrems (C-362/14, EU:C:2015:650), admitem că mijloacele la care Canada poate să fi recurs pentru a asigura un nivel de protecție adecvat pot fi diferite de cele puse în aplicare în cadrul Uniunii. Nu este mai puțin adevărat că, astfel cum a precizat Curtea tot la același punct din aceeași hotărâre, aceste mijloace trebuie să se dovedească în practică efective în scopul de a asigura o protecție „în esență echivalentă” cu cea garantată în cadrul Uniunii. În această privință, controlul Curții asupra caracterului „în esență echivalent” al nivelului de protecție rezultat din prevederile acordului preconizat cu cel garantat de dreptul Uniunii nu poate fi limitat.
ii) Cu privire la posibilitatea ingerinței de a realiza obiectivul de siguranță publică urmărit de acordul preconizat
205. Întrucât acest punct este clarificat, nu considerăm că există obstacole adevărate în a recunoaște că ingerința pe care o implică acordul preconizat este de natură să realizeze obiectivul de siguranță publică, în special de combatere a terorismului și a infracțiunilor transnaționale grave, urmărit de acesta din urmă. Astfel, după cum au subliniat în special guvernul Regatului Unit și Comisia, transmiterea de date PNR în vederea analizării și păstrării lor permite autorităților canadiene să dispună de posibilități suplimentare de identificare a pasagerilor, până atunci necunoscuți și nebănuiți, care ar putea avea legături cu alte persoane și/sau pasageri implicați într‑o rețea teroristă sau care participă la infracțiuni transnaționale grave. Aceste date, astfel cum ilustrează statisticile comunicate de guvernul Regatului Unit și de Comisie în privința practicii trecute a autorităților canadiene, reprezintă instrumente utile pentru desfășurarea anchetelor penale(83), care sunt de asemenea de natură să favorizeze, în special în raport cu cooperarea polițienească instituită de acordul preconizat, prevenirea și detectarea unei infracțiuni de terorism și a unei infracțiuni transnaționale grave în cadrul Uniunii.
206. Deși neparticiparea Regatului Danemarcei este susceptibilă să reducă aptitudinea măsurilor prevăzute de acordul preconizat de a contribui la consolidarea securității în cadrul Uniunii, aceasta nu pare în sine de natură să anuleze posibilitatea ca ingerința să atingă obiectivul de siguranță publică urmărit de acordul respectiv. Astfel, pe de o parte, toți transportatorii aerieni care efectuează curse către Canada sunt supuși obligației de a transmite autorității canadiene competente datele PNR pe care le colectează(84) și, pe de altă parte, autoritatea canadiană competentă poate, în temeiul articolului 19 din acordul preconizat, să divulge în afara Canadei și sub rezerva respectării unor condiții stricte, date PNR, de la caz la caz, autorităților guvernamentale ale căror funcții au o legătură directă cu finalitatea prevăzută la articolul 3 din acordul menționat(85).
iii) Cu privire la caracterul strict necesar al ingerinței
207. În ceea ce privește caracterul strict necesar al ingerinței pe care o implică acordul preconizat, aprecierea sa trebuie să ne determine, în opinia noastră, să verificăm dacă părțile contractante au realizat un „just echilibru” între, pe de o parte, obiectivul combaterii terorismului și a infracțiunilor transnaționale grave și, pe de altă parte, obiectivul protecției datelor cu caracter personal cu respectarea vieții private a persoanelor în cauză(86).
208. Un astfel de just echilibru trebuie să se poată reflecta, în opinia noastră, în prevederile acordului preconizat. Aceste prevederi trebuie să stabilească astfel norme clare și precise care să reglementeze conținutul și aplicarea unei măsuri care prevede o ingerință în drepturile garantate de articolele 7 și 8 din cartă și să impună o serie de cerințe minime astfel încât persoanele în cauză să dispună de garanții suficiente pentru a‑și proteja în mod eficient datele împotriva riscurilor de abuz, precum și împotriva oricărui acces și a oricărei utilizări ilicite a acestor date(87). Prevederile acordului preconizat trebuie să constea de asemenea în măsurile care să afecteze cel mai puțin drepturile recunoscute de articolele 7 și 8 din cartă, contribuind totodată în mod eficient la obiectivul de securitate publică urmărit de acordul preconizat(88). Această constatare presupune că nu este suficient să se imagineze, în mod abstract, existența unor măsuri alternative care să afecteze mai puțin drepturile fundamentale în discuție. Este necesar și ca aceste măsuri alternative să fie suficient de eficiente(89), cu alte cuvinte ca acestea să prezinte, în opinia noastră, o eficacitate comparabilă cu cele prevăzute de acordul preconizat, în vederea realizării obiectivului de securitate publică urmărit de acesta.
209. În această privință, au existat dezbateri între părțile interesate atât cu privire la caracterul strict necesar al acordurilor PNR în general, cât și cu privire la anumite prevederi ale acordului preconizat. Întrucât aceste două aspecte sunt, în opinia noastră, intrinsec legate, considerăm că trebuie să le analizăm în cadrul examinării diferitor părți ale acordului preconizat.
210. Ne vom concentra, așadar, asupra următoarele opt puncte, care au făcut în mod specific obiectul cererii de aviz sau care au fost discutate între părțile interesate în cursul procedurii în fața Curții, și anume categoriile de date PNR vizate de acordul preconizat, caracterul suficient de precis al finalității pentru care prelucrarea datelor PNR este autorizată, identificarea autorității competente însărcinate cu prelucrarea datelor PNR, prelucrarea automată a datelor PNR, accesul la date PNR, păstrarea datelor PNR, transferul ulterior al datelor PNR și, în sfârșit, măsurile de supraveghere și de control jurisdicțional prevăzute de acordul preconizat.
– Cu privire la categoriile de date PNR vizate de acordul preconizat
211. Astfel cum am menționat deja, acordul preconizat prevede transmiterea către autoritatea canadiană competentă a 19 categorii de date PNR colectate de transportatorii aerieni în scopul rezervării zborurilor, enumerate în anexa la acest acord.
212. În fața Curții, părțile interesate au prezentat observații cu privire la semnificația unora dintre aceste categorii, la eventuala dublă utilizare cu datele colectate de autoritățile canadiene în vederea controlului la frontiere sau, începând cu 15 martie 2016, pentru a elibera o autorizație de călătorie electronică (denumită în continuare „ACE”), precum și cu privire la identificarea datelor PNR susceptibile să conțină date sensibile. În această privință, în cursul procedurii în fața Curții, Comisia a afirmat că doar rubrica 17, care figurează în anexa la acordul preconizat, intitulată „observații generale, inclusiv alte informații suplimentare (Other Supplementary Information – OSI), informații privind serviciile speciale (Special Service Information – SSI) și informații privind cereri ale serviciilor speciale (Special Service Request – SSR)”, poate conține date sensibile, în sensul acordului preconizat. În plus, a reieșit din dezbaterile în fața Curții că informațiile care figurează în rubrica 17 erau transmise numai atunci când persoana care efectuează rezervarea unui zbor ar necesita anumite servicii la bord, precum servicii de asistență, legate, după caz, de probleme de sănătate sau de mobilitate sau cerințe alimentare speciale, care pot furniza eventual indicații cu privire la starea de sănătate sau evidenția originea etnică sau convingerile religioase ale acestei persoane sau ale pasagerilor care o însoțesc.
213. Este cert că cele 19 categorii de date PNR a căror transmitere către autoritatea canadiană competentă este prevăzută de acordul preconizat corespund categoriilor care apar în sistemele de rezervare ale companiilor aeriene. Aceste categorii corespund de asemenea elementelor de date PNR enumerate în anexa I la Orientările privind datele din registrul cu numele pasagerilor adoptate de Organizația Aviației Civile Internaționale (ICAO) și publicate în anul 2010(90). Elementele conținute în aceste categorii sunt, așadar, perfect cunoscute de operatorii care își desfășoară activitatea în sectorul de transport aerian. Aceste elemente privesc, în definitiv, toate informațiile necesare pentru a efectua o rezervare pentru o călătorie pe cale aeriană, fie că este vorba despre mijloace de rezervare și despre modalități de plată utilizate, despre itinerariul ales sau despre servicii eventual solicitate la bord.
214. Pe de altă parte, astfel cum au subliniat Irlanda, guvernul Regatului Unit și Comisia, datele PNR, privite în ansamblu, cuprind informații suplimentare în raport cu datele colectate în scopul efectuării controlului la frontiere de către autoritățile canadiene competente în domeniul imigrației. Astfel, informațiile prealabile referitoare la pasager (API), de ordin biografic și referitoare la călătoria efectuată, care sunt colectate de transportatorii aerieni, au drept scop principal facilitarea și accelerarea controalelor cu privire la identitatea pasagerilor la frontieră, permițând, dacă este cazul, evitarea îmbarcării persoanelor care, de exemplu, fac obiectul interdicției de ședere sau supunerea anumitor pasageri deja identificați unui control consolidat la frontiere(91). De asemenea, în Canada, noua cerință a unei ACE se înscrie în optica păstrării programului de imigrație al țării menționate, întrucât aceasta necesită, pentru orice persoană care dorește să se deplaseze în Canada pe cale aeriană, care nu este supusă obligației cu privire la vize, obținerea, pe baza informațiilor biografice și privind admiterea și șederea în Canada, pe cale electronică, a unei autorizații prealabile de călătorie a cărei durată de valabilitate este de cel mult cinci ani(92). Acest tip de date nu permite totuși să se obțină informații cu privire la mijloacele de rezervare, modalitățile de plată utilizate, precum și cu privire la obiceiurile de călătorie, a căror coroborare prezintă o utilitate certă în combaterea terorismului și a celorlalte infracțiuni transnaționale grave. Independent de metodele utilizate pentru prelucrarea acestor date, API și datele necesare pentru eliberarea unei ACE nu ar fi, așadar, suficiente pentru realizarea cu o eficacitate comparabilă a obiectivului de siguranță publică urmărit de acordul preconizat.
215. Este adevărat că aceste categorii de date PNR sunt transmise autorităților canadiene în privința tuturor pasagerilor care efectuează o cursă aeriană între Canada și Uniune, fără să existe un indiciu că comportamentul acestor pasageri poate avea o legătură cu o activitate de terorism sau cu o infracțiune transnațională gravă.
216. Cu toate acestea, astfel cum au explicat părțile interesare, chiar interesul sistemelor PNR, fie că acestea sunt adoptate în mod unilateral, fie că fac obiectul unui acord internațional, este tocmai acela de a garanta transmiterea masivă de date care permit autorităților competente să identifice, cu ajutorul unor instrumente de prelucrare automată și al unor scenarii sau criterii de evaluare prestabilite, persoane care nu sunt cunoscute de serviciile de aplicare a legii, dar care par să prezinte un „interes” sau un risc pentru siguranța publică și care sunt, în consecință, susceptibile să fie supuse ulterior unor controale individuale mai ample.
217. În aceste condiții, avem îndoieli serioase în ceea ce privește caracterul suficient de clar și de precis al textului anumitor categorii de date PNR care figurează în anexa la acordul preconizat. Astfel, unele dintre ele sunt formulate într‑un mod foarte, chiar excesiv de deschis, fără ca o persoană informată în mod rezonabil să poată stabili natura sau conținutul datelor cu caracter personal pe care aceste categorii le pot conține. Ne referim, în această privință, mai ales la rubrica 5 referitoare la „informații disponibile privind programele de fidelitate și avantajele oferite (de exemplu, bilete gratuite, transferul la o clasă superioară etc.)”, la rubrica 7, intitulată „toate informațiile disponibile privind datele de contact (inclusiv cele referitoare la sursa informației)”, precum și la rubrica 17, deja menționată, referitoare la „observații generale”. Explicațiile furnizate de Comisie în răspunsurile sale la întrebările scrise adresate de Curte nu au permis înlăturarea acestor îndoieli. În special, în ceea ce privește rubrica 7, această instituție a admis că era vorba, în mod neexhaustiv, de „toate datele de contact legate de rezervare, inclusiv în special adresa poștală sau de e‑mail, numărul de telefon al pasagerului, al persoanei sau chiar al agenției care a rezervat zborul”. De asemenea, în ceea ce privește rubrica 17, Comisia a indicat că aceasta are în vedere toate „informațiile suplimentare, în afara celor enumerate în altă parte în anexa la acordul preconizat”.
218. Acordul preconizat prevede, desigur, anumite garanții în scopul asigurării ca datele transmise să nu depășească lista elementelor enumerate în anexa la acordul preconizat, în posesia transportatorilor aerieni. Reiese astfel din articolul 4 alineatul (3) din acordul preconizat că nicio altă dată nu trebuie comunicată autorității canadiene competente, întrucât Canada trebuie să șteargă din momentul primirii orice date care i‑ar fi fost transferate de un transportator aerian în cazul în care acestea nu sunt prevăzute în lista categoriilor din anexa la acordul preconizat. Astfel, în cazul în care, în conformitate cu ceea ce se arată în rubrica 8 din această anexă, informațiile disponibile referitoare la plata zborului trebuie să fie transferate autorității canadiene competente, acestea nu le pot include pe cele referitoare la modalitățile de plată a altor servicii care nu au legătură directă cu zborul, precum închirierea unui vehicul la sosire.
219. Cu toate acestea, având în vedere caracterul foarte, chiar excesiv de deschis al anumitor rubrici, este deosebit de dificil să se înțeleagă ce date ar fi considerate ca nefiind necesar să fie transferate în Canada și, în consecință, șterse de aceasta din urmă, în temeiul articolului 4 alineatul (3) din acordul preconizat. Adăugăm că este posibil ca un transportator aerian să aleagă, din dorința de facilitare și de reducere a costurilor, să transfere toate datele pe care le‑a colectat în prealabil, indiferent dacă acestea figurează sau nu figurează printre rubricile enumerate în anexa la acordul preconizat.
220. Prin urmare, considerăm că, pentru a se asigura securitatea juridică a persoanelor ale căror date cu caracter personal sunt transferate și prelucrate în temeiul acordului preconizat și necesitatea de a stabili norme clare și precise care reglementează conținutul material al acordului respectiv, categoriile de date care figurează în anexa la acordul preconizat ar trebui să fie redactate într‑un mod mai concis și precis, fără ca vreo marjă de apreciere să poată fi lăsată fie transportatorilor aerieni, fie autorităților canadiene competente în ceea ce privește întinderea concretă a acestor categorii.
221. În sfârșit, considerăm că acordul preconizat depășește ceea ce este strict necesar prin includerea în domeniul său de aplicare a transferului de date PNR care pot să conțină date sensibile, care permit, in concreto, să se furnizeze indicații cu privire la starea de sănătate sau să evidențieze originea etnică sau convingerile religioase ale pasagerului în cauză și/sau ale celor care îl însoțesc.
222. În această privință, reiese din elementele transmise Curții că datele PNR care pot conține astfel de date sensibile sunt comunicate doar în mod facultativ, cu alte cuvinte numai atunci când un pasager solicită un serviciu suplimentar la bord. Or, ne pare evident că o persoană care nu a fost „identificată” încă, dar care colaborează sau participă la o rețea internațională teroristă sau de criminalitate gravă, va evita, din prudență, să recurgă la astfel de servicii, care ar putea printre altele să furnizeze informații cu privire la originea sa etnică sau la convingerile sale religioase. Metodele de investigare moderne utilizate de autoritățile competente canadiene care constau, potrivit explicațiilor furnizate Curții, în coroborarea datelor PNR obținute cu scenarii sau cu profiluri standard de persoane care prezintă un risc și care s‑ar putea întemeia pe astfel de date sensibile, întrucât acordul preconizat nu interzice acest lucru, vor permite, în definitiv, numai prelucrarea datelor sensibile ale persoanelor care au solicitat în mod legitim să obțină unul dintre aceste servicii de asistență la bord și cu privire la care nu există și nu va continua să existe, după toate probabilitățile, vreo bănuială. Or, riscul de stigmatizare a unui număr mare de persoane, care nu sunt totuși bănuite de săvârșirea vreunei infracțiuni, pe care îl implică utilizarea unor asemenea date sensibile apare ca fiind deosebit de preocupant și ne determină să propunem Curții să excludă aceste date din domeniul de aplicare al acordului preconizat. În plus, trebuie să observăm că articolul 8 din acordul PNR încheiat cu Australia interzice orice prelucrare a datelor PNR sensibile. Această constatare permite să se considere, în lipsa unei explicații mai detaliate în acordul preconizat în ceea ce privește stricta necesitate de a prelucra datele sensibile, că obiectivul privind combaterea terorismului și a infracțiunilor internaționale grave se poate realiza într‑o manieră la fel de eficace fără ca astfel de date să fie transferate către Canada.
223. Adăugăm că garanțiile oferite de articolul 8 din acordul preconizat, referitor la „utilizarea datelor sensibile”, sunt insuficiente pentru a justifica o altă abordare în afara celei care constă în propunerea de a exclude datele sensibile din domeniul de aplicare al acordului preconizat.
224. Astfel, în pofida măsurilor prevăzute la articolul 8 alineatele (1)-(4) din acordul preconizat, alineatul (5), in fine, al acestui articol permite „Canad[ei]” (și nu numai autorității canadiene competente) să păstreze datele sensibile, conform articolului 16 alineatul (5) din acordul preconizat. Or, rezultă în special din această dispoziție că datele respective pot fi păstrate pentru o perioadă care nu depășește cinci ani atunci când aceste date sunt „necesare pentru orice acțiune, analiză, cercetare, măsură de punere în aplicare, procedură judiciară, urmărire penală sau aplicare de sancțiuni specifică până la încheierea acesteia”. Articolul 16 alineatul (5) din acordul preconizat nu face, în plus, nicio trimitere la finalitățile indicate la articolul 3 din acord, contrar alineatului care îl precedă. Rezultă de aici că date sensibile cu privire la un cetățean al Uniunii care a efectuat un zbor către Canada ar putea fi păstrate timp de cinci ani (și, după caz, demascate și analizate în această perioadă) de către orice autoritate publică canadiană, pentru orice „acțiune” sau „analiză” sau „procedură judiciară”, fără vreo legătură cu obiectivul urmărit de acordul preconizat, de exemplu, astfel cum a arătat Parlamentul, în cazul unei proceduri care privește dreptul contractelor sau dreptul familiei. Posibilitatea de a apărea o asemenea situație ne determină să concluzionăm că părțile contractante nu au efectuat, cu privire la acest aspect, un just echilibru între obiectivele urmărite de acordul preconizat.
225. Având în vedere aceste considerații, apreciem că categoriile de date PNR enumerate în anexa la acordul preconizat ar trebui formulate într‑un mod suficient de clar și de precis și că, în orice caz, datele sensibile ar trebui excluse din domeniul de aplicare al acordului preconizat. În consecință, utilizarea datelor sensibile prevăzută la articolul 8 din acordul preconizat este, în opinia noastră, incompatibilă cu articolele 7, 8 și cu articolul 52 alineatul (1) din cartă.
– Cu privire la caracterul suficient de precis al finalității pentru care este autorizată prelucrarea de date PNR
226. Astfel cum am indicat deja, articolul 3 alineatul (1) din acordul preconizat prevede că autoritatea canadiană competentă prelucrează datele PNR primite în temeiul acestui acord exclusiv în scopul prevenirii, detectării, cercetării sau urmăririi penale a infracțiunilor de terorism sau a infracțiunilor transnaționale grave în materie.
227. Articolul 3 alineatul (2) litera (a) din acordul preconizat furnizează o definiție precisă a expresiei „infracțiune de terorism”, în timp ce alineatul (3) al acestui articol definește „infracțiunea transnațională gravă” ca fiind „orice infracțiune care în Canada se sancționează cu o pedeapsă cu închisoarea de cel puțin patru ani sau cu o pedeapsă mai severă, astfel cum este definită de legislația canadiană, în cazul în care infracțiunea are un caracter transnațional”. Condițiile pentru ca o infracțiune să aibă această natură sunt de asemenea enumerate la articolul 3 alineatul (3) literele (a)-(e) din acordul preconizat.
228. Articolul 3 alineatul (5) din acordul preconizat acordă Canadei dreptul de a prelucra date PNR, de la caz la caz, fie pentru a asigura supravegherea sau tragerea la răspundere a administrației publice [alineatul (5) litera (a)], fie pentru a se conforma dispozițiilor unei citații sau ale unui mandat sau ale unui ordin emis de o instanță [alineatul (5) litera (b)].
229. În cererea sa, Parlamentul admite că articolul 3 din acordul preconizat oferă anumite criterii obiective, dar consideră că trimiterea la legislația unei țări terțe prin alineatul (3) al acestuia și posibilitatea de prelucrare suplimentară acordată de alineatul (5) al articolului menționat generează incertitudini în ceea ce privește aspectul dacă acordul se limitează la strictul necesar.
230. Nu putem fi de acord decât parțial cu aceste argumente.
231. Mai întâi, considerăm că, contrar situației care se regăsea în ceea ce privește actul în discuție în cauza Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), articolul 3 din acordul preconizat prevede criterii obiective referitoare la natura și la nivelul de gravitate al infracțiunilor care permit autorităților canadiene să prelucreze datele PNR. Astfel, infracțiunea de terorism este direct definită la articolul 3 alineatul (2) din acordul preconizat și face de asemenea trimitere la activitățile definite ca atare prin convențiile și protocoalele internaționale aplicabile în materie de terorism. Natura și gravitatea unei infracțiuni „transnaționale grave” reies de asemenea perfect din articolul 3 alineatul (3) din acordul preconizat întrucât este vorba despre o infracțiune care implică mai multe state și care poate fi sancționată cu o pedeapsă cu închisoarea în Canada de cel puțin patru ani. Nu este vorba în mod clar despre infracțiuni minore sau al căror caracter de gravitate ar putea varia, astfel cum era situația în actul aflat la originea Hotărârii din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), în funcție de dreptul intern al mai multor state, făcând, așadar, imposibil să se considere că ingerința în drepturile fundamentale garantate de articolele 7 și 8 din cartă era limitată la strictul necesar.
232. Cu toate acestea, admitem că trimiterea la dreptul intern canadian nu permite să se identifice care infracțiuni precise pot fi acoperite de articolul 3 alineatul (3) din acordul preconizat, în cazul în care acestea au, în plus, o natură transnațională.
233. În această privință, Comisia a comunicat Curții un document transmis de autoritățile canadiene care menționează o listă neexhaustivă a infracțiunilor care se încadrează în definiția prevăzută la articolul 3 alineatul (3) din acordul preconizat care, potrivit acestor autorități, reprezintă marea majoritate a infracțiunilor susceptibile să se încadreze în această definiție.
234. Această listă demonstrează în mod clar gravitatea infracțiunilor vizate, care se raportează la traficul de arme, de muniții, de explozivi și de ființe umane, la distribuirea sau posesia de material pedopornografic, la spălarea produselor infracțiunii, la falsificarea și contrafacerea de monede, la omor, la răpire, la sabotaj, la luare de ostatici sau la deturnare de aeronave.
235. Cu toate acestea, pentru a limita la strictul necesar infracțiunile de natură să permită prelucrarea de date PNR și să asigure securitatea juridică a pasagerilor ale căror date sunt transmise autorităților canadiene, considerăm că infracțiunile care se încadrează în definiția prevăzută la articolul 3 alineatul (3) din acordul preconizat ar trebui să fie enumerate în mod limitativ, de exemplu într‑o anexă la acordul preconizat însuși.
236. În plus, împărtășim neliniștile Parlamentului în ceea ce privește modul de redactare a articolului 3 alineatul (5) litera (b) din acordul preconizat, care cuprinde o extindere a finalităților pentru care se permite prelucrarea datelor PNR. Astfel, potrivit acestui articol, prelucrarea de date PNR este „de asemenea” permisă de la caz la caz, pentru a se conforma dispozițiilor unei citații sau ale unui mandat sau ale unui ordin emis de o instanță, fără să se arate dacă această instanță acționează în contextul finalităților acordului preconizat. Rezultă că acest articol permite, așadar, prelucrarea de date PNR pentru alte scopuri decât cele urmărite de acordul preconizat și/sau eventual în privința unor situații, comportamente sau infracțiuni care nu intră în domeniul de aplicare al acordului respectiv.
237. Având în vedere aceste considerații, apreciem că, pentru a se limita la strictul necesar și pentru a asigura securitatea juridică a pasagerilor, în special a cetățenilor Uniunii, acordul preconizat trebuie să fie însoțit de o listă exhaustivă a infracțiunilor care se încadrează în definiția „infracțiune transnațională gravă”, prevăzută la articolul 3 alineatul (3) din acest acord. În plus, în stadiul actual al redactării, articolul 3 alineatul (5) din acordul preconizat este incompatibil cu articolele 7, 8 și cu articolul 52 alineatul (1) din cartă, în sensul că permite, dincolo de ceea ce este strict necesar, să se extindă posibilitățile de prelucrare a datelor PNR, independent de finalitățile urmărite de acordul preconizat.
– Cu privire la domeniul de aplicare personal al acordului preconizat
238. Este cert că datele PNR transmise în cadrul acordului preconizat privesc ansamblul călătorilor care efectuează curse aeriene între Canada și Uniune, fără să existe un indiciu de natură să permită să se considere că comportamentul acestor călători poate avea vreo legătură cu o infracțiune de terorism sau cu o infracțiune transnațională gravă. Transferul acestor date către autoritatea canadiană competentă, prelucrarea lor automată, apoi păstrarea lor se aplică, așadar, fără să fie efectuată vreo diferențiere în funcție de eventualul risc pe care l‑ar putea prezenta anumite categorii de călători.
239. În Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), în mod deosebit, caracterul nediferențiat și generalizat al păstrării datelor oricărei persoane care utilizează serviciile de comunicații electronice în Uniune, independent de obiectivul urmărit de Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE(93), de combatere a infracțiunilor grave, a fost considerat de Curte ca depășind strictul necesar.
240. Deși ingerința pe care o implică acordul preconizat este de mai mică amploare decât cea prevăzută de Directiva 2006/24, fiind în același timp și mai puțin intruzivă în viața cotidiană a fiecărei persoane, caracterul său nediferențiat și generalizat dă naștere la întrebări.
241. Cu toate acestea, astfel cum am observat deja la punctul 216 din prezentele concluzii, însuși interesul sistemelor PNR este de a garanta transmiterea masivă de date care să permită autorităților competente să identifice, cu ajutorul unor instrumente de prelucrare automată și al unor scenarii sau criterii prestabilite, persoane care nu au fost până atunci cunoscute de serviciile de aplicare a legii, dar care par să prezinte un „interes” sau un risc pentru siguranța publică și care pot fi, în consecință, supuse ulterior unor controale individuale mai ample. Aceste controale trebuie să poată fi efectuate de asemenea o anumită perioadă de la călătoria pasagerilor în discuție.
242. În plus, contrar persoanelor ale căror date făceau obiectul prelucrării prevăzute de Directiva 2006/24, toate persoanele care intră sub incidența acordului preconizat utilizează în mod voluntar un mijloc de transport internațional către sau dintr‑o țară terță, mijloc de transport care este el însuși, în mod recurent din păcate, vector sau victimă a unor infracțiuni de terorism sau a unor infracțiuni transnaționale grave, ceea ce necesită adoptarea unor măsuri care să asigure un nivel de securitate ridicat al tuturor pasagerilor.
243. Desigur, este posibil să se conceapă un sistem de transfer și de prelucrare a datelor PNR care ar distinge pasagerii în funcție, de exemplu, de zonele geografice de proveniență (în caz de escală în Uniune) sau în funcție de vârsta pasagerilor, minorii putând, de exemplu, să reprezinte a priori un risc mai redus pentru siguranța publică. Cu toate acestea, în măsura în care se consideră că nu implică o discriminare interzisă, astfel de măsuri ar risca, odată cunoscute, să determine o eludare a prevederilor acordului preconizat, ceea ce ar afecta oricum realizarea eficientă a unuia dintre obiectivele sale.
244. Or, astfel cum am arătat deja, nu este suficient să ne imaginăm in abstracto măsuri alternative mai puțin restrictive privind drepturile fundamentale ale persoanelor. Este necesar și ca, în opinia noastră, aceste măsuri să prezinte garanții de eficiență comparabile cu cele a căror punere în aplicare este preconizată în scopul combaterii infracțiunilor de terorism și a infracțiunilor transnaționale grave. Nicio altă măsură care, limitând totodată numărul persoanelor ale căror date PNR sunt prelucrate automat de autoritatea canadiană competentă, ar putea atinge cu o eficacitate comparabilă scopul de siguranță publică urmărit de părțile contractante nu a fost adusă la cunoștința Curții în cadrul prezentei proceduri.
245. În aceste condiții, considerăm, așadar, că, în general, domeniul de aplicare personal al acordului preconizat nu poate fi definit mai precis, fără ca aceasta să nu aducă atingere chiar obiectului sistemelor PNR.
– Cu privire la identificarea autorității competente însărcinate cu prelucrarea datelor PNR
246. Potrivit articolului 5 din acordul preconizat, doar „autoritatea canadiană competentă” se consideră că asigură un nivel adecvat de protecție în ceea ce privește prelucrarea și utilizarea datelor PNR, sub rezerva conformității cu acordul preconizat.
247. Astfel cum a arătat Parlamentul, identitatea acestei autorități nu este menționată în acordul preconizat. Nu se poate contesta totuși, având în vedere Acordul din 2006 și astfel cum confirmă scrisoarea misiunii Canadei pe lângă Uniunea Europeană din data de 25 iunie 2014, notificată Comisiei în temeiul articolului 30 alineatul (2) litera (a) din acordul preconizat și transmisă Curții în cadrul prezentei proceduri, că este vorba despre ASFC.
248. Pe lângă identitatea acestei autorități, caracterul adeseori imprecis al prevederilor acordului preconizat dă naștere, din punctul de vedere al respectării principiului proporționalității, la îndoieli în ceea ce privește autoritățile care pot prelucra date PNR.
249. Mai multe prevederi ale acordului preconizat se referă astfel, în mod generic, la „Canada”, și nu la „autoritatea canadiană competentă”, totuși singura autoritate despre care se consideră că asigură un nivel adecvat de protecție pentru prelucrarea și utilizarea de date PNR, în temeiul acordului preconizat. Situația este aceeași în ceea ce privește articolul 3 alineatul (5) din acordul preconizat, care extinde, în plus, astfel cum am examinat mai sus(94), finalitățile pentru care datele PNR pot fi prelucrate, articolul 8 din acordul preconizat, articolul 12 alineatul (3) din acordul preconizat, privind divulgarea către orice persoană, precum și articolul 16 din acordul preconizat, privind păstrarea datelor PNR(95).
250. Contrar susținerilor Comisiei din ședință, înlocuirea expresiei „autoritatea canadiană competentă” cu denumirea generică „Canada” ridică îndoieli cu privire la numărul autorităților autorizate să prelucreze date, care este, în plus, atunci când articolul 18 din acordul preconizat permite acest lucru, în condițiile pe care acest articol le enumeră, autoritatea canadiană competentă să divulge date PNR altor autorități publice în Canada(96).
251. Prevederile acordului preconizat nu ne par, așadar, suficient de clare și de precise în ceea ce privește identificarea autorității însărcinate cu prelucrarea datelor PNR, astfel încât să asigure protecția și securitatea datelor menționate.
– Cu privire la prelucrarea automată a datelor PNR
252. Reiese din observațiile prezentate Curții că principala valoare adăugată a prelucrării datelor PNR este confruntarea datelor colectate cu scenarii sau cu criterii de evaluare prestabilite de risc sau cu baze de date care permit, cu ajutorul prelucrării automate, să se identifice „obiective”, care pot face obiectul ulterior al unui control mai amplu. În practică, conform datelor comunicate de ASFC Comisiei și guvernului Regatului Unit și care au fost transmise Curții de aceste părți interesate, aplicarea tehnicilor respective a permis identificarea a aproximativ 9 500 de „obiective” prin prelucrarea automată a datelor PNR din cele 28 de milioane de pasageri care au efectuat un zbor între Canada și Uniune între luna aprilie 2014 și luna martie 2015.
253. Cu toate acestea, nicio prevedere a acordului preconizat nu privește în mod specific nici aceste baze de date, nici aceste scenarii sau criterii de evaluare, care ar trebui să continue, așadar, să fie stabilite și utilizate la simpla discreție a autorităților canadiene.
254. Desigur, acordul preconizat prevede că Canada asigură faptul că garanțiile aferente prelucrării datelor PNR se aplică tuturor pasagerilor în mod egal, fără discriminare ilegală (articolul 7 din acordul preconizat) și că nu adoptă decizii care au urmări negative semnificative asupra unui pasager exclusiv pe baza prelucrării automate a datelor PNR (articolul 15 din acordul preconizat).
255. Avem totuși convingerea că, având în vedere justul echilibru dintre cele două obiective urmărite de acordul preconizat și importanța practică considerabilă a acestui aspect și întrucât confruntarea datelor PNR cu aceste scenarii sau cu aceste criterii de evaluare prestabilite este de natură să conducă, astfel cum au admis anumite părți interesate, la identificarea unor false „obiective” pozitive, acordul preconizat ar trebui să conțină un anumit număr de principii și norme explicite în ceea ce privește atât scenariile sau criteriile de evaluare prestabilite, cât și bazele de date în raport cu care se confruntă datele PNR.
256. Încadrarea și stabilirea precisă a scenariilor și a criteriilor de evaluare prestabilite trebuie să poată permite, într‑o mare măsură, să se ajungă la rezultate care vizează indivizi cu privire la care ar putea exista o „bănuială rezonabilă” de participare la infracțiuni de terorism sau la infracțiuni transnaționale grave(97).
257. Nu este strict necesar pentru Curte să indice principiile care ar trebui să reglementeze stabilirea scenariilor și a criteriilor de evaluare respective sau bazele de date în raport cu care se confruntă datele PNR.
258. În ceea ce ne privește, considerăm că ar trebui, cel puțin, ca acordul preconizat să prevadă în mod expres că nici scenariile sau criteriile de evaluare prestabilite, nici bazele de date utilizate nu se pot întemeia pe originea rasială sau etnică a unei persoane, pe opiniile sale politice, pe religie sau pe convingerile sale filosofice, pe apartenența sa la un sindicat, pe starea sa de sănătate sau pe orientarea sa sexuală. Pe de altă parte, criteriile, scenariile și bazele de date ar trebui să se limiteze în mod expres la scopurile și la infracțiunile prevăzute la articolul 3 din acordul preconizat.
259. În plus, acordul preconizat ar trebui să specifice, în opinia noastră, mai clar decât stabilește în prezent articolul 15 din acordul preconizat că, în ipoteza în care confruntarea de date PNR cu criterii și scenarii prestabilite conduce la un rezultat pozitiv, acest rezultat trebuie să fie examinat prin mijloace neautomatizate. Această garanție ar putea permite diminuarea numărului de persoane care ar putea face obiectul unui control fizic ulterior mai amplu.
260. În plus, pentru a fi limitate la strictul necesar, aceste criterii, scenarii și baze de date relevante, precum și reexaminarea lor, ar trebui, în opinia noastră, să facă obiectul unui control din partea autorității publice independente prevăzute în acordul preconizat, și anume a Comisarului pentru Protecția Vieții Private canadian(98), și să facă obiectul unui raport privind punerea lor în aplicare, transmis instituțiilor și organelor competente ale Uniunii, în contextul articolului 26 din acordul preconizat, care reglementează examinarea și evaluarea comună a punerii în aplicare a acestuia din urmă.
261. În consecință, considerăm că, omițând să stabilească principii și norme explicite care se raportează la stabilirea și la utilizarea de scenarii și criterii prestabilite, precum și de baze de date în raport cu care se confruntă datele PNR prin prelucrare automată, părțile contractante nu au efectuat un just echilibru între cele două obiective urmărite de acordul preconizat.
– Cu privire la accesul la datele PNR
262. Odată ce pasagerii ale căror date PNR au făcut obiectul unei prelucrări automate, care prezintă un profil corespunzător unor scenarii sau criterii prestabilite, sunt identificați, reiese din explicațiile furnizate Curții că funcționarii ASFC aceesează datele acestor pasageri pentru a stabili dacă este necesar să îi supună unui control mai amplu. În practică, conform informațiilor comunicate de guvernul Regatului Unit și de Comisie, printre cele 9 500 de „obiective” identificate între aprilie 2014 și martie 2015, 1 765 de persoane au făcut obiectul unui control aprofundat pentru motive legate de siguranța publică națională sau pentru motive legate de o infracțiune transnațională gravă. Dintre aceste persoane, 178 au făcut obiectul unei arestări pentru o infracțiune transnațională gravă, legată în special de traficul de stupefiante.
263. În Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238, punctele 62 și 66), Curtea a arătat, pe de o parte, că Directiva 2006/24 nu prevedea niciun criteriu obiectiv care să permită limitarea numărului de persoane autorizate să aibă acces la datele cu caracter personal în discuție și nu condiționa accesul la aceste date de un control prealabil efectuat de o instanță sau de o entitate administrativă independentă. Pe de altă parte, acest act nu prevedea nici norme împotriva riscurilor de abuz și împotriva oricărui acces și a oricărei utilizări ilicite a acestor date.
264. În schimb, este necesar să se observe că prevederile acordului preconizat îndeplinesc în parte aceste cerințe.
265. Astfel cum s‑a arătat deja, articolul 9 alineatele (1) și (2) din acordul preconizat impune ca Canada să pună în aplicare măsuri de reglementare, procedurale sau tehnice pentru a proteja datele PNR împotriva accesării, prelucrării sau pierderii accidentale, ilegale sau neautorizate a acestora și asigură în special securitatea, confidențialitatea și integritatea datelor, aplicând în special proceduri de criptare și de păstrare a datelor într‑un mediu fizic sigur care este protejat prin controale de acces.
266. În plus, atât articolul 9 alineatul (2) litera (b), cât și articolul 16 alineatul (2) din acordul preconizat prevăd că Canada limitează accesul la datele PNR, care este permis doar funcționarilor expres autorizați în acest scop. În materie de păstrare a datelor PNR, articolul 16 alineatul (4) din acordul preconizat prevede de asemenea că datele depersonalizate prin mascare pot fi demascate numai dacă este necesar să se efectueze investigații care se încadrează în domeniul de aplicare al articolului 3 din acordul preconizat și, în funcție de perioada de păstrare a datelor PNR în cauză, fie de către un număr limitat de funcționari autorizați în mod specific, fie numai cu autorizația prealabilă a persoanei aflate la conducerea autorității canadiene competente sau a unui înalt funcționar mandatat în mod specific de către această persoană.
267. Cu toate acestea, la fel ca și Directiva 2006/24, acordul preconizat nu specifică criteriile obiective pe baza cărora sunt stabiliți funcționarii care au acces la date PNR și dacă acești funcționari fac toți parte din serviciile ASFC. Aceste indicații par cu atât mai importante cu cât grupul de funcționari care are acces la datele respective în contextul articolului 9 alineatul (2) din acordul preconizat este, în opinia noastră, mai extins decât cel, calificat drept „limitat”, care poate avea acces la datele păstrate peste termenul de 30 de zile în contextul aplicării articolului 16 alineatul (2) din acordul menționat. Criteriile care permit diferențierea celor două grupuri de funcționari care pot avea acces la date PNR nu rezultă totuși din prevederile acordului preconizat și sunt lăsate, așadar, la discreția totală a Canadei. Considerăm că această libertate nu îndeplinește cerința prevăzută de Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), amintită la punctul 263 din prezentele concluzii.
268. De asemenea, trebuie să se observe că acordul preconizat nu prevede nicidecum că accesul la date PNR este condiționat de un control prealabil efectuat de o autoritate independentă, precum Comisarul pentru Protecția Vieții Private canadian(99), sau de o instanță a cărei decizie ar putea limita accesul la date sau utilizarea lor și care ar interveni în urma unei cereri motivate a ASFC.
269. Evaluarea adecvată a urmăririi eficiente a combaterii terorismului și infracțiunilor transnaționale grave cu respectarea unui nivel ridicat de protecție a datelor cu caracter personal ale pasagerilor vizați nu impune totuși în mod necesar să fie prevăzut un control prealabil al accesului la datele PNR.
270. Astfel, chiar fără să fie nevoie să se verifice dacă un asemenea control prealabil ar fi posibil în practică și suficient de efectiv, având în vedere în special cantitatea de date care trebuie examinate și resursele de care dispun autoritățile independente de control, subliniem că, în contextul respectării articolului 8 din CEDO de către autoritățile publice care au pus în aplicare măsuri de interceptare și de supraveghere a comunicărilor private, Curtea Europeană a Drepturilor Omului a admis că, cu excepția circumstanțelor speciale care privesc în special confidențialitatea surselor de informare a jurnaliștilor sau comunicările dintre avocați și clienții lor, un control ex ante al acestor măsuri efectuat de către o autoritate independentă sau de către un magistrat nu constituie o cerință absolută, din moment ce este garantat, a posteriori, un control jurisdicțional extins asupra măsurilor respective(100).
271. În această privință, independent de îndoielile ridicate de repartizarea competențelor de supraveghere și de control ale ASFC între „autoritatea publică independentă” și „autoritatea creată prin mijloace administrative care își exercită funcțiile în mod imparțial și care și‑a demonstrat autonomia”, asupra cărora vom reveni ulterior(101), trebuie să se arate că articolul 14 alineatul (2) din acordul preconizat prevede că Canada trebuie să asigure faptul că orice persoană care consideră că i‑au fost încălcate drepturile printr‑o decizie sau acțiune în legătură cu datele sale PNR poate exercita căi de atac judiciare efective în conformitate cu legislația canadiană. Nu se poate contesta, în raport cu textul articolului 14 alineatul (1) din acordul preconizat și cu explicațiile furnizate de părțile interesate, că această cale de atac este disponibilă împotriva oricărei decizii privind accesul la datele PNR ale persoanelor vizate, independent de cetățenia acestora, de domiciliu sau de prezența lor pe teritoriul canadian. În cadrul prezentei proceduri de examinare preventivă a compatibilității prevederilor acordului preconizat cu articolele 7 și 8 din cartă, garantarea unei asemenea căi de atac, a cărei eficacitate nu a fost pusă la îndoială de nicio parte interesată, ne pare să îndeplinească condiția impusă de aceste dispoziții, coroborate cu interpretarea articolului articolul 8 din CEDO reținută de Curtea Europeană a Drepturilor Omului.
272. În consecință, considerăm că faptul că acordul preconizat a omis să prevadă că accesul funcționarilor autorizați ai ASFC la datele PNR este condiționat de un control prealabil efectuat de o autoritate administrativă independentă sau de o instanță nu este incompatibil cu articolele 7, 8 și cu articolul 52 alineatul (1) din cartă, în măsura în care, după cum este cazul, acordul preconizat impune Canadei să asigure oricărei persoane vizate dreptul de a beneficia de un control jurisdicțional efectiv ulterior al deciziilor sau al măsurilor privind accesul la datele sale PNR.
273. În schimb, considerăm că, pentru a se limita la strictul necesar, acordul preconizat trebuie să specifice în mod clar că doar funcționarii ASFC au drept de acces la datele respective și să prevadă criterii obiective care să permită să se precizeze numărul lor, având în vedere diferitele situații prevăzute de articolele 9 și 16 din acordul preconizat.
– Cu privire la păstrarea datelor PNR
274. În fața Curții, părțile interesate au dezbătut pe larg consecințele care trebuie deduse din Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), în ceea ce privește caracterul strict necesar al sistemului de păstrare a datelor PNR prevăzut la articolul 16 din acordul preconizat.
275. Pe de o parte, în această hotărâre, Curtea a reproșat legiuitorului Uniunii că nu a impus ca datele în discuție în această cauză să fie păstrate pe teritoriul Uniunii, astfel încât controlul exercitat de o autoritate independentă, impus în mod expres la articolul 8 alineatul (3) din cartă, al respectării cerințelor de protecție și de securitate a datelor nu era garantat în totalitate(102).
276. Pe de altă parte, în ceea ce privește durata de păstrare de cel mult doi ani prevăzută de Directiva 2006/24, Curtea a criticat faptul că aceasta din urmă nu făcea vreo distincție între categoriile de date în funcție de utilitatea lor în scopul realizării obiectivului urmărit sau în funcție de persoanele vizate și că aceasta nu era stabilită pe baza unor criterii obiective(103).
277. În ceea ce privește primul punct, este evident că datele PNR care intră sub incidența prevederilor acordului preconizat nu vor fi păstrate pe teritoriul Uniunii. Această constatare nu este suficientă totuși ca atare pentru a invalida sistemul de păstrare prevăzut la articolul 16 din acordul preconizat, cu condiția ca acordul menționat să garanteze pe deplin controlul cerințelor de protecție și de securitate exercitat de o autoritate independentă. Or, astfel cum vom examina ulterior, în timp ce intenția părților contractante este de a respecta în totalitate cerința prevăzută la articolul 8 alineatul (3) din cartă, articolul 10 alineatul (1) din acordul preconizat este formulat în termeni prea neclari pentru a garanta, în orice situație, existența unui asemenea control(104).
278. În ceea ce privește perioada de păstrare a datelor PNR, reiese din articolul 16 alineatul (1) din acordul preconizat că aceasta este de cel mult cinci ani de la data la care se primesc(105), la expirarea căreia alineatul (6) al articolului menționat impune Canadei să distrugă datele PNR.
279. Este cert că perioada de păstrare a fost prelungită cu un an și jumătate în raport cu cea prevăzută în Acordul din 2006. Pe de altă parte, în afara explicațiilor și a exemplelor furnizate de anumite părți interesate în cursul procedurii în fața Curții, care au legătură, în esență, cu durata medie de viață a rețelelor internaționale de criminalitate gravă, precum și cu durata și complexitatea anchetelor privind aceste rețele, acordul preconizat nu indică motivele obiective care au determinat părțile contractante să prelungească perioada de păstrare a datelor PNR la cel mult cinci ani.
280. Considerăm că motivele obiective respective trebuie indicate în acordul preconizat, ceea ce ar permite a priori să se garanteze că această perioadă este necesară în scopurile urmărite de acordul preconizat. Pentru a fi foarte clar cu privire la acest aspect, considerația amintită este valabilă și în ceea ce privește articolul 16 alineatul (5) din acordul preconizat, al cărui domeniu de aplicare, astfel cum am indicat deja în considerațiile noastre referitoare la date sensibile care trebuie excluse din domeniul de aplicare al acestui acord, ar trebui, în ceea ce privește păstrarea celorlalte date PNR pe o perioadă de cel mult de cinci ani, să fie limitată la finalitatea descrisă la articolul 3 din acordul preconizat(106).
281. Prin urmare, este necesar să se constate că părțile contractante nu au justificat necesitatea de a păstra toate datele PNR pe o perioadă de cel mult cinci ani.
282. Curtea ar putea, în cadrul prezentei proceduri, să se limiteze la această constatare, fără a trebui să verifice, așadar, dacă perioada de păstrare de cinci ani a tuturor datelor PNR ale tuturor pasagerilor curselor aeriene dintre Canada și Uniune nu depășește ceea ce este strict necesar pentru realizarea obiectivului de securitate al acordului preconizat.
283. În ipoteza în care Curtea ar considera totuși că este oportun să consacre câteva considerații acestei probleme, ne permitem să facem următoarele observații.
284. Mai întâi, în ceea ce privește cantitate de date PNR care sunt păstrate, este legitim, în opinia noastră, să se ridice problema dacă, după mai mulți ani, este justificat să se păstreze anumite categorii din aceste date, din moment ce autoritatea canadiană competentă dispune sau poate dispune prin demascare, în conformitate cu condițiile prevăzute la articolul 16 alineatul (3) din acordul preconizat, de datele PNR care evidențiază informațiile esențiale referitoare la identitatea pasagerului sau a pasagerilor din registrul PNR, la data călătoriei, la modalitățile de plată utilizate, la toate datele de contact, la itinerariul de călătorie, la datele de contact ale agenției sau ale agentului de turism și la informațiile referitoare la bagaje. În special, ridicăm problema dacă informații privind programele de fidelitate și avantajele oferite (rubrica 5 din anexa la acordul preconizat), etapa în care se află călătoria pasagerului (rubrica 13 din anexă), informații privind biletul sau prețul unui bilet (rubrica 14 din anexă) și informații privind partajarea codurilor (rubrica 11 din anexă), care precizează, potrivit Comisiei, numai transportatorul efectiv, se dovedesc a fi, după un anumit număr de ani de păstrare, informații care prezintă o adevărată valoare adăugată în raport cu celelalte date PNR care sunt de asemenea păstrate și care pot fi demascate, în scopul combaterii terorismului și infracțiunilor transnaționale grave.
285. În continuare, pe lângă îndoielile la care poate da naștere caracterul strict necesar al perioadei de păstrare a tuturor datelor PNR prevăzute de acordul preconizat, garanțiile oferite de articolul 16 alineatul (3) din acesta în materie de „depersonalizare” prin mascare ne par, în orice caz, insuficiente pentru a asigura protecția și securitatea datelor cu caracter personal ale pasagerilor în cauză.
286. Desigur, acest articol prevede într‑adevăr o mascare a numelor tuturor pasagerilor o perioadă de 30 de zile de la data primirii acestora. Se precizează de asemenea că elementele de date PNR din categoriile 6, 7, 17 și 18, enumerate în anexa la acordul preconizat(107), sunt mascate doi ani de la primirea acestor date, în cazul în care, cu privire la cele două categorii menționate, acestea permit să se identifice o persoană fizică.
287. Tocmai caracterul exhaustiv al aceste enumerări este preocupant. Astfel, alte rubrici din anexa la acordul preconizat sunt de asemenea susceptibile să identifice în mod direct o persoană fizică, fără ca acestea să figureze în lista prevăzută la articolul 16 alineatul (3) din acordul preconizat. Ne referim mai ales, în această privință, la informațiile disponibile privind programele de fidelitate și avantajele oferite (rubrica 5 din anexă) și la toate informațiile disponibile privind plata/facturarea biletului (rubrica 8), care cuprind printre altele detalii referitoare la modalitatea/modalitățile de plată utilizată/utilizate.
288. În consecință, considerăm că, omițând să asigure o „depersonalizare” prin mascare a tuturor datelor PNR care permit să se identifice în mod direct un pasager, părțile contractante nu au asigurat un just echilibru între obiectivele urmărite de acordul preconizat.
289. În sfârșit, în ceea ce privește normele și modalitățile referitoare la demascarea datelor PNR, trebuie amintit că articolul 16 alineatul (4) din acordul preconizat precizează că o asemenea operațiune poate fi efectuată numai dacă, pe baza informațiilor disponibile, este necesar să se efectueze cercetări care intră sub incidența articolului 3 din acordul preconizat fie, într‑o perioadă de doi ani după data primirii inițiale a datelor PNR, de către un număr limitat de funcționari autorizați în mod expres, fie, într‑o perioadă cuprinsă între doi ani și cinci ani după data primirii inițiale, numai cu autorizația prealabilă a persoanei aflate la conducerea autorității canadiene competente sau a unui înalt funcționar mandatat în mod specific de către această persoană.
290. Sub rezerva observațiilor făcute mai sus în ceea ce privește criteriile obiective care permit să se stabilească funcționarii autorizați să aibă acces la date(108) și cele care urmează, referitoare la supravegherea autorității canadiene competente de către o autoritate publică independentă(109), considerăm că articolul 16 alineatul (4) din acordul preconizat nu depășește ceea ce este strict necesar.
– Cu privire la divulgarea și transferul ulterior de date PNR
291. Articolele 12, 18 și 19 din acordul preconizat privesc în mod direct divulgarea datelor PNR.
292. Articolul 12 din acordul preconizat, care este intitulat „accesul persoanelor”, pare la prima vedere scutit de orice critică, întrucât urmărește să asigure accesul oricărei persoane la propriile sale date PNR.
293. Alineatul (3) al acestui articol ne pare să extindă totuși, peste măsură, posibilitățile de acces la date PNR și la informații care sunt extrase din acestea, pentru orice persoană, fără să fie prevăzute garanții precise. Articolul 12 alineatul (3) din acordul preconizat acordă astfel dreptul Canadei de a „divulga orice informație care face obiectul unor cerințe și limitări legale rezonabile […], acordând atenția cuvenită interesului legitim al persoanei în cauză”. Or, nici destinatarii acestei „informații”, nici utilizarea care este dată acesteia nu sunt definite în acordul preconizat. Prin urmare, este perfect posibil ca această informație să poată fi comunicată oricărei persoane fizice sau juridice, ca de exemplu un organism bancar, în măsura în care Canada consideră că divulgarea unei asemenea informații nu depășește limitele legale „rezonabile”, care, în plus, nu sunt definite în acordul preconizat.
294. Având în vedere în special caracterul deosebit de vag și de larg al formulării sale, considerăm că articolul 12 alineatul (3) din acordul preconizat depășește, așadar, ceea ce este strict necesar pentru realizarea obiectivului de siguranță publică urmărit de acordul preconizat.
295. În ceea ce privește articolele 18 și 19 din acordul preconizat, acestea privesc divulgarea de către autoritatea canadiană competentă a unor date PNR altor autorități guvernamentale în Canada și altor autorități guvernamentale din alte țări decât statele membre ale Uniunii.
296. La fel ca și Parlamentul, reținem că, întrucât „nivelul de protecție adecvat”, considerat conform celui garantat în dreptul Uniunii, privește numai respectarea de către autoritatea canadiană competentă a prevederilor acordul preconizat, părțile contractante trebuie să garanteze că acest nivel de protecție nu poate fi eludat prin transferuri de date cu caracter personal către alte autorități publice canadiene sau către țări terțe(110).
297. Nu se poate contesta că articolele 18 și 19 din acordul preconizat supun transferul ulterior al unor astfel de date sau informații analitice care conțin date PNR unor condiții cumulative stricte, patru dintre aceste condiții fiind identice. Astfel, aceste date și aceste informații sunt comunicate numai în cazul în care autoritățile publice în discuție au funcții care au o legătură directă cu domeniul de aplicare al articolului 3 din acordul preconizat, numai de la caz la caz și sub rezerva că circumstanțele din cazul specific fac necesară comunicarea în scopurile enunțate la articolul 3. În plus, se precizează că este comunicat doar numărul minim necesar de date PNR sau de informații analitice(111).
298. Garanțiile oferite de aceste două prevederi diferă însă în ceea ce privește celelalte condiții.
299. Mai întâi, în timp ce, potrivit articolului 18 din acordul preconizat, celelalte autorități publice canadiene care primesc date PNR trebuie să asigure „o protecție echivalentă cu garanțiile prevăzute în [acordul preconizat]”, articolul 19 alineatul (1) litera (e) din acord prevede că autoritatea canadiană competentă trebuie să se „asigure” că autoritatea străină care primește date aplică în ceea ce privește protecția datelor PNR fie standarde echivalente celor prevăzute în acordul preconizat, în conformitate cu acordurile și cu aranjamentele care conțin aceste standarde, fie standarde pe care le‑a convenit cu Uniunea, în ceea ce privește protecția acestor date.
300. În cele două situații, este cert că revine exclusiv autorității canadiene competente, și anume ASFC, sarcina de a verifica caracterul adecvat al protecției oferite de autoritatea publică care primește datele. Nici examinarea ASFC, nici decizia eventuală de divulgare de date PNR nu sunt supuse unui control ex ante de către o autoritate independentă sau de către un magistrat. În plus, acordul preconizat nu prevede nicidecum că intenția de a transfera datele PNR ale unui resortisant al unui stat membru al Uniunii Europene face obiectul, cel puțin, al unei informări prealabile a autorităților competente din statul membru în discuție și/sau a Comisiei înaintea oricărei comunicări efective. Astfel, articolul 18 din acordul preconizat nu face niciun fel de mențiuni cu privire la această din urmă posibilitate, în timp ce articolul 19 alineatul (2) din acesta prevede doar o informare a posteriori „în cel mai scurt timp posibil” a autorităților competente din statul membru în discuție.
301. Or, garanțiile suplimentare evocate la punctul anterior ar trebui, în opinia noastră, să fie asigurate.
302. Pe de o parte, un simplu control a posteriori al divulgării acestor date nu va permite nici să se înlăture o apreciere eronată a nivelului de protecție oferit de autoritatea publică care primește date, nici să se restabilească caracterul privat și confidențial al acestor date odată ce acestea vor fi fost transmise autorității publice care primește date și vor fi fost utilizate de aceasta din urmă(112). Această concluzie este cu atât mai valabilă pentru divulgarea de date către o țară terță, a căror utilizare ulterioară nu va fi supusă competenței și controlului ex post al autorităților și instanțelor canadiene.
303. Pe de altă parte, o informare prealabilă a Comisiei și a autorităților competente din statul membru de care ține resortisantul ale cărui date PNR fac obiectul unui asemenea transfer va putea garanta că examinarea „nivelului de protecție echivalent” a fost într‑adevăr efectuată. În plus, dintr‑o altă perspectivă, o asemenea informare prealabilă, în măsura în care transferul de date PNR în temeiul articolelor 18 și 19 din acordul preconizat se va putea realiza numai în situații deosebite sau în circumstanțe specifice motivate în mod corespunzător și, așadar, în situații în care se presupune că există bănuieli importante în legătură cu persoana în cauză, este de natură să contribuie printre altele la consolidarea cooperării dintre autoritățile competente ale Canadei, ale Uniunii și ale statelor sale membre, compatibilă cu obiectivul de prevenire și de detectare a unor infracțiuni de terorism și a unor infracțiuni transnaționale grave, urmărit de acordul preconizat.
304. În continuare, este necesar să se arate că articolul 18 alineatul (1) litera (f) din acordul preconizat interzice autorității publice canadiene care primește datele să divulge ulterior datele PNR unei alte autorități, cu excepția cazului în care divulgarea este autorizată de ASFC, cu respectarea condițiilor prevăzute la același alineat. În schimb, articolul 19 din acordul preconizat nu impune nicidecum acestei din urmă autorități să se asigure, în prealabil oricărui transfer de date PNR, că autoritatea publică destinatară a unei țări terțe nu poate comunica ea însăși ulterior datele respective unei alte entități, eventual dintr‑o altă țară terță.
305. Or, întrucât nu este exclus riscul ca o asemenea situație să intervină, ceea ce ar avea drept efect eludarea nivelului garantat de dreptul Uniunii în materie de protecție a datelor cu caracter personal, este necesar să se constate că articolul 19 din acordul preconizat autorizează ingerințe nejustificate în drepturile fundamentale garantate de articolele 7 și 8 din cartă(113).
– Cu privire la măsurile de supraveghere și de control administrativ și jurisdicțional
306. Impus atât de articolul 8 alineatul (3) din cartă, cât și de articolul 16 alineatul (2) al doilea paragraf TFUE, controlul exercitat de o autoritate independentă constituie un element esențial al respectării protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în Uniune(114).
307. Din prevederile acordului preconizat rezultă că părțile contractante sunt conștiente de această cerință, chiar dacă, astfel cum vom reveni, acordul preconizat nu o respectă în totalitate.
308. În scopul de a garanta că nivelul de protecție oferit de autoritatea canadiană competentă, la prelucrarea și utilizarea datelor PNR, este, potrivit articolului 5 din acordul preconizat, „adecvat […] în sensul legislației […] UE în domeniul protecției datelor”, aceasta trebuie printre altele să se conformeze măsurilor prevăzute la articolul 10 din acordul preconizat, cu alte cuvinte controlului exercitat de o „autoritate de supraveghere”. Această autoritate trebuie să dispună de „competențe efective de a investiga respectarea normelor privind colectarea, utilizarea, divulgarea, păstrarea sau eliminarea datelor PNR”. Aceste competențe o includ și pe cea de a efectua analize de conformitate, de a face recomandări autorității canadiene competente sau de a semnala încălcările normelor de drept care au legătură cu acordul preconizat în vederea urmăririi penale sau a sancționării disciplinare. În temeiul articolului 14 alineatul (1) din acordul preconizat, autoritatea de supraveghere primește și investighează plângerile depuse de orice persoană cu privire la cererea sa de acordare a accesului la datele sale PNR, de corectare a acestora sau de atașare a unui note și răspunde la acestea.
309. Rezultă că intenția părților contractante este aceea de a garanta că prelucrarea datelor cu caracter personal efectuată de ASFC este supusă unui mecanism eficient de detectare și de control al eventualelor încălcări ale normelor acordului preconizat care asigură protecția vieții private și a datelor cu caracter personal ale pasagerilor, în vederea garantării unui nivel de protecție înțeles ca „echivalent în esență” cu cel de care ar beneficia aceste persoane în cazul în care datele lor ar fi prelucrate și păstrate pe teritoriul Uniunii.
310. În consecință, controlul exercitat de o autoritate independentă, impus în special de articolul 8 alineatul (3) din cartă, se aplică în totalitate în speță.
311. Or, particularitatea autorității de supraveghere instituite în acordul preconizat, care atrage criticile Parlamentului și ale AEPD în ceea ce privește independența sa totală, este că aceasta se dovedește a fi bicefală. Articolul 10 din acordul preconizat prezintă astfel această autoritate ca fiind fie o „autoritate publică independentă”, fie o „autoritate creată prin mijloace administrative care își exercită funcțiile în mod imparțial și care și‑a demonstrat autonomia”.
312. Prima dintre aceste autorități, astfel cum rezultă din scrisoarea din 25 iunie 2014 a misiunii Canadei pe lângă Uniunea Europeană(115) și din explicațiile Comisiei în cadrul procedurii în fața Curții, desemnează Comisarul pentru Protecția Vieții Private canadian, căruia Legea canadiană din 1985 privind protecția informațiilor cu caracter personal(116) îi precizează statutul, modul de desemnare, durata mandatului de șapte ani inamovibili și competențele de cercetare, inclusiv din proprie inițiativă, și de recomandare. Trebuie arătat că niciuna dintre părțile interesate nu a pus la îndoială faptul că Comisarul pentru Protecția Vieții Private canadian, care informează exclusiv camerele Parlamentului canadian, beneficiază de o independență și de o imparțialitate care îi permit să își exercite misiunile fără a fi supus vreunei influențe sau instrucțiuni externe, în special din partea executivului(117).
313. Din explicațiile furnizate Curții reiese că, în temeiul Legii privind protecția informațiilor cu caracter personal, competențele Comisarul pentru Protecția Vieții Private canadian privesc plângerile oricărei persoane împotriva unei încălcări a normelor privind viața privată și protecția datelor cu caracter personal de către o instituție publică federală a Canadei.
314. Cu toate acestea, formularea alternativă de la articolul 10 alineatul (1) din acordul preconizat permite să se înțeleagă că controlul exercitat asupra prelucrării datelor PNR de către ASFC ar putea fi asumat în totalitate de către „autoritatea creată prin mijloace administrative care își exercită funcțiile în mod imparțial și care și‑a demonstrat autonomia”, cu alte cuvinte de către Direcția de recurs a ASFC, care a fost instituită în temeiul Acordului din 2006.
315. Or, independent de garanțiile indicate în scrisoarea din 25 iunie 2014 a misiunii Canadei pe lângă Uniunea Europeană, potrivit cărora Direcția de recurs a ASFC nu va face obiectul vreunei instrucțiuni din partea celorlalte entități operaționale ale acesteia, aceasta rămâne, la fel ca și toate celelalte entități ale ASFC, direct subordonată ministrului său de resort, de la care poate primi instrucțiuni(118). Fiind susceptibilă să fie supusă influențelor în special de natură politică din partea autorității sale de tutelă sau, mai general, a executivului, Direcția de recurs a ASFC nu poate fi considerată o autoritate de control independentă, în sensul articolului 8 alineatul (3) din cartă.
316. În consecință, întrucât articolul 10 din acordul preconizat prevede în esență că autoritatea de supraveghere poate să fie, în mod alternativ, fie Comisarul pentru Protecția Vieții Private canadian, fie Direcția de recurs a ASFC, această dispoziție nu constituie o normă clară și precisă care să garanteze în mod sistematic un control efectuat de către o autoritate independentă, în sensul articolului 8 alineatul (3) din cartă, cu privire la respectarea vieții private și protecția datelor cu caracter personal ale indivizilor vizați de prelucrarea datelor PNR prevăzută în acordul preconizat. Revine părților contractante sarcina de a înlătura ambiguitatea care rezultă din redactarea articolului 10 alineatul (1) din acordul menționat și de a se asigura că controlul respectării drepturilor fundamentale garantate de articolele 7 și 8 din cartă este încredințat unei autorități de control independente, în sensul alineatului (3) al acestei dispoziții.
317. În ceea ce privește articolul 14 alineatul (1) din acordul preconizat, care privește căile de atac administrative, reiese din explicațiile Comisiei că, în temeiul Legii canadiene din 1985 privind protecția informațiilor cu caracter personal, Comisarul pentru Protecția Vieții Private canadian nu este competent să soluționeze cererile de acordare a accesului la datele PNR, de corectare a acestora sau de atașare a unei note la acestea din partea persoanelor care nu sunt prezente în Canada, cu alte cuvinte cereri formulate de aceste persoane în temeiul articolelor 12 și 13 din acordul preconizat.
318. Conform explicațiilor furnizate de Comisie, examinarea cererilor de acordare a accesului, de corectare a acestora sau de atașare a unei note la acestea, precum și răspunsurile la aceste cereri care sunt introduse de persoane care nu sunt prezente în Canada, ceea ce constituie fără îndoială cea mai mare parte a cetățenilor Uniunii, revine Direcției de recurs a ASFC.
319. În observațiile sale, precum și în răspunsurile la întrebările adresate de Curte, Comisia a arătat că o persoană a cărei cerere de acordare a accesului la datele PNR sau de corectare a acestora sau de atașare a unei note la datele menționate ar fi fost respinsă de Direcția de recurs a ASFC va putea, prin intermediul unui mandatar prezent pe teritoriul canadian, să depună o plângere la Comisarul pentru Protecția Vieții Private canadian.
320. Existența acestei căi de atac administrative la Comisarul pentru Protecția Vieții Private canadian nu figurează totuși nici în acordul preconizat și nici nu reiese din vreo dispoziție a dreptului canadian adusă la cunoștința Curții. În măsura în care aceasta este efectiv posibilă, considerăm că posibilitatea respectivă ar trebui să fie indicată în mod clar în acordul preconizat, astfel încât să permită oricărei persoane să cunoască conținutul drepturilor procedurale care îi sunt recunoscute prin acest act. În cazul în care existența unei asemenea posibilități se dovedește, în definitiv, inexactă, Comisarul pentru Protecția Vieții Private canadian ar trebui, în opinia noastră, să își poată asuma în mod direct misiunea de a răspunde la orice cerere de acordare a accesului, de corectare a acestora sau de atașare a unei note la acestea, formulată de un particular care nu este prezent în Canada. Astfel, în cazul în care niciuna dintre aceste opțiuni nu ar fi prevăzută, nicio autoritate de control independentă nu ar fi competentă să examineze acest tip de cereri, în condițiile în care ar fi vorba tocmai despre cereri care vor fi formulate exclusiv de cetățeni ai Uniunii în privința propriilor date cu caracter personal. Posibilitatea să apară o asemenea situație ar însemna, în opinia noastră, că părțile contractante nu au ajuns la un just echilibru între cele două obiective urmărite de acordul preconizat.
321. În orice caz, articolul 14 alineatul (1) din acordul preconizat ar trebui să precizeze în mod clar că cererile de acordare a accesului la datele PNR, de corectare a acestora sau de atașare a unei note la acestea efectuate de pasagerii care nu sunt prezenți pe teritoriul canadian pot fi introduse fie în mod direct, fie printr‑o cale de atac administrativă, la o autoritate publică independentă.
322. În schimb și din rațiuni de exhaustivitate, nu considerăm că sunt întemeiate criticile invocate de Parlamentul European potrivit cărora articolul 14 alineatul (2) din acordul preconizat ar putea încălca articolul 47 din cartă.
323. Articolul 14 alineatul (2) din acordul preconizat prevede astfel că Canada asigură faptul că orice persoană care consideră că i‑au fost încălcate drepturile printr‑o decizie sau acțiune în legătură cu datele sale PNR poate exercita căi de atac judiciare efective în conformitate cu legislația canadiană sau orice altă măsură reparatorie care poate să includă acordarea unei compensații.
324. Astfel cum a arătat Consiliul, această dispoziție garantează că particularii, independent de cetățenia lor, de domiciliul lor sau de faptul ca sunt sau nu sunt prezenți în Canada, pot dispune de o protecție jurisdicțională efectivă, în sensul articolului 47 din cartă. Faptul că articolul 14 alineatul (2) din acordul preconizat prevede că „calea de atac judiciară efectivă” poate fi completată cu o măsură reparatorie este de natură să arate că Canada se angajează să asigure că toate persoanele vizate pot exercita căi de atac în mod efectiv.
325. Adăugăm că reiese din articolul 14 alineatul (1) din acordul preconizat că autoritatea care a respins o cerere de acordare a accesului la datele sale PNR, de corectare a acestora sau de atașare a unei note la acestea trebuie să informeze petentul cu privire la modalitățile de introducere a căilor de atac judiciare prevăzute la alineatul (2) al acestui articol, ceea ce asigură o informare adecvată și individuală a cetățenilor Uniunii în cauză.
326. Contrar susținerilor Parlamentului cu trimitere la punctul 95 din Hotărârea din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650), o asemenea situație nu este comparabilă cu cea care a determinat Curtea să constate, în acea cauză, o atingere adusă substanței dreptului fundamental la o protecție jurisdicțională efectivă. Astfel, era vorba în acea cauză despre reglementarea unei țări terțe, pe care Comisia o considerase că asigură un nivel de protecție a drepturilor fundamentale adecvat, dar care, având în vedere informațiile obținute ulterior, nu prevedea nicio posibilitate pentru justițiabil de a exercita căi de atac pentru a avea acces la propriile date cu caracter personal sau pentru a obține rectificarea sau ștergerea unor astfel de date.
327. Acordul preconizat, care constituie un angajament internațional pentru Canada, impune într‑adevăr acesteia să garanteze că asemenea căi de atac sunt puse în practică și sunt efective. În această măsură și având în vedere natura preventivă a procedurii de aviz, această constatare este suficientă, în opinia noastră, pentru a concluziona că articolul 14 alineatul (2) din acordul preconizat este compatibil cu articolul 47 din cartă(119).
VIII – Concluzie
328. Având în vedere ceea ce precedă, propunem Curții să răspundă la cererea de aviz a Parlamentului după cum urmează:
„1) Actul Consiliului de încheiere a acordului preconizat dintre Canada și Uniunea Europeană referitor la transferul și prelucrarea datelor din registrul cu numele pasagerilor (PNR), semnat la 25 iunie 2014, trebuie să se întemeieze pe articolul 16 alineatul (2) primul paragraf TFUE și pe articolul 87 alineatul (2) litera (a) TFUE coroborate cu articolul 218 alineatul (6) litera (a) punctul (v) TFUE.
2) Acordul preconizat este compatibil cu articolul 16 TFUE și cu articolele 7, 8 și articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene, cu condiția ca:
– categoriile de date din registrul cu numele pasagerilor (PNR) ale pasagerilor aerieni, enumerate în anexa la acordul preconizat, să fie formulate în mod clar și precis și ca datele sensibile, în sensul acordului preconizat, să fie excluse din domeniul de aplicare al acestuia din urmă;
– infracțiunile care se încadrează în definiția infracțiunii transnaționale grave, prevăzută la articolul 3 alineatul (3) din acordul preconizat, să fie enumerate în mod exhaustiv în acesta sau într‑o anexă la acesta;
– acordul preconizat să identifice într‑un mod suficient de clar și de precis autoritatea însărcinată cu prelucrarea datelor din registrul cu numele pasagerilor, astfel încât să asigure protecția și securitatea datelor respective;
– acordul preconizat să precizeze în mod explicit principiile și normele aplicabile atât scenariilor sau criteriilor de evaluare prestabilite, cât și bazelor de date în raport cu care se confruntă datele din registrul cu numele pasagerilor în cadrul prelucrării automate a acestor date, permițând limitarea, în largă măsură și în mod nediscriminatoriu, a numărului persoanelor «vizate» la cele cu privire la care există o bănuială rezonabilă de participare la o infracțiune de terorism sau la o infracțiune transnațională gravă;
– acordul preconizat să specifice că doar funcționarii autorității canadiene competente sunt autorizați să aibă acces la datele din registrul cu numele pasagerilor și să prevadă criterii obiective care permit să se precizeze numărul acestor funcționari;
– acordul preconizat să specifice, în formă motivată, motivele obiective care justifică necesitatea păstrării tuturor datelor din registrul cu numele pasagerilor pentru o perioadă de cel mult cinci ani;
– în ipoteza în care perioada de păstrare de cel mult cinci ani a datelor din registrul cu numele pasagerilor este considerată ca fiind necesară, acordul preconizat să asigure o «depersonalizare» prin mascare a tuturor datelor PNR care permit să se identifice în mod direct un pasager aerian;
– acordul preconizat să condiționeze examinarea efectuată de autoritatea canadiană competentă referitoare la nivelul de protecție asigurat de alte autorități publice canadiene și de cele ale unor țări terțe, precum și eventuala decizie de a divulga, de la caz la caz, datele din registrul cu numele pasagerilor autorităților respective, de un control ex ante exercitat de o autoritate independentă sau de o instanță;
– intenția de a transfera datele din registrul cu numele pasagerilor ale unui resortisant al unui stat membru al Uniunii Europene către o altă autoritate publică canadiană sau către o autoritate publică a unei țări terțe să facă obiectul unei informări prealabile a autorităților competente ale statului membru în discuție și/sau a Comisiei Europene, înaintea oricărei comunicări efective;
– acordul preconizat să garanteze în mod sistematic, printr‑o normă clară și precisă, un control exercitat de către o autoritate independentă, în sensul articolului 8 alineatul (3) din Carta drepturilor fundamentale a Uniunii Europene, cu privire la respectarea vieții private și protecția datelor cu caracter personal ale pasagerilor ale căror date din registrul cu numele pasagerilor sunt prelucrate și
– acordul preconizat să precizeze în mod clar că cererile de acordare a accesului, de corectare sau de atașare a unei note efectuate de pasagerii care nu sunt prezenți pe teritoriul canadian pot fi introduse, fie în mod direct, fie printr‑o cale de atac administrativă, la o autoritate publică independentă.
3) Acordul preconizat este incompatibil cu articolele 7, 8 și cu articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene în măsura în care:
– articolul 3 alineatul (5) din acordul preconizat permite, dincolo de ceea ce este strict necesar, să se extindă posibilitățile de prelucrare a datelor din registrul cu numele pasagerilor, independent de finalitatea, indicată la articolul 3 din acordul menționat, de prevenire și de detectare a infracțiunilor de terorism și a infracțiunilor transnaționale grave;
– articolul 8 din acordul preconizat prevede prelucrarea, utilizarea și păstrarea de către Canada a datelor din registrul cu numele pasagerilor care conțin date sensibile;
– articolul 12 alineatul (3) din acordul preconizat acordă Canadei, dincolo de ceea ce este strict necesar, dreptul de a divulga orice informație care face obiectul unor cerințe și limitări legale rezonabile;
– articolul 16 alineatul (5) din acordul preconizat permite Canadei să păstreze datele din registrul cu numele pasagerilor pentru o perioadă de cel mult cinci ani, în special pentru orice acțiune, analiză, cercetare sau procedură judiciară, fără să fie necesară o legătură oarecare cu finalitatea, indicată la articolul 3 din articolul menționat, de prevenire și de detectare a infracțiunilor de terorism și a infracțiunilor transnaționale grave, și
– articolul 19 din acordul preconizat admite că transferul de date din registrul cu numele pasagerilor unei autorități publice dintr‑o țară terță poate fi realizat fără ca autoritatea canadiană competentă, sub controlul unei autorități independente, să se asigure în prealabil că autoritatea publică destinatară din țara terță în discuție nu poate comunica ea însăși, ulterior, datele respective unei alte entități, eventual, dintr‑o altă țară terță.”