En préambule, je voulais vous indiquer que nous sommes aujourd'hui saisis de cette proposition de résolution dans la mesure où elle a été adoptée par la commission chargée des affaires européennes et renvoyée à notre Commission avant l'entrée en vigueur du nouveau Règlement de l'Assemblée nationale, le 25 juin 2009, qui prévoit une adoption tacite des propositions de résolution. En conséquence, la commission des Lois doit examiner et adopter la proposition de résolution. Celle-ci deviendra ensuite définitive si la conférence des présidents ne décide pas de l'inscrire en séance publique.
Depuis l'adoption de la proposition de résolution par la commission chargée des affaires européennes, j'ai eu l'occasion à plusieurs reprises d'aborder le sujet avec le commissaire Jacques Barrot, en charge du dossier, et celui-ci m'a fait savoir qu'il partageait complètement les éléments de cette proposition de résolution.
Cette proposition tenait compte des importantes évolutions du texte intervenues sous présidence française au cours du deuxième trimestre 2008. Depuis l'adoption de la proposition de résolution, les négociations n'ont pas connu d'avancées sous présidence tchèque et présidence suédoise. En revanche, l'Espagne, qui occupera la présidence de l'Union européenne au premier trimestre 2010 a fait part de son grand intérêt pour ce texte et de son souhait de reprendre rapidement ces travaux sous sa présidence. Dans ces conditions, il semble important que l'Assemblée nationale adopte définitivement une résolution avant la reprise des négociations sur les principaux points restant en discussion.
Concernant la proposition de décision-cadre elle-même, je tiens d'abord à souligner que les données PNR sont essentielles dans la lutte contre le terrorisme et les formes graves de criminalité.
Je vous rappelle que les données PNR sont les données collectées par les transporteurs internationaux au stade de la réservation commerciale. Elles se distinguent donc notamment des données relatives aux personnes transportées, dites données APIS (Advance passenger information system), qui sont les données collectées par les entreprises de transport international au moment de l'enregistrement et dont elles disposent au moment de l'embarquement.
La collecte et l'analyse de ces données sont particulièrement utiles. Par exemple, un renseignement concernant un déplacement d'une personne signalée permet de prendre les mesures préventives appropriées (surveillance renforcée du vol, accueil par les services de police à la descente de l'avion, filature discrète sur le territoire du pays de destination…). En outre, le suivi des déplacements internationaux d'une personne permet d'obtenir des renseignements très intéressants sur les pays qu'elle fréquente, voire d'attirer l'attention des services compétents sur des personnes dont les déplacements peuvent lui sembler suspects.
C'est pourquoi le 1. de la proposition de résolution dispose que l'Assemblée « juge que les données PNR constituent un outil nécessaire à la lutte contre le terrorisme et les formes graves de criminalité et que l'institution d'un régime de transfert et de collecte harmonisé au niveau européen permettrait de renforcer l'efficacité des mesures prises au plan national par les États membres ».
Par ailleurs, j'estime que ce dispositif doit être mis en oeuvre au niveau européen. Tout d'abord, l'Union européenne a déjà conclu des accords, notamment avec les États-Unis, afin d'autoriser les compagnies européennes à transférer aux gouvernements de ces États les données PNR en leur possession. Ces accords ont été conclus dans des conditions particulièrement critiquables. Pour résister à de telles pressions, il serait bien préférable de montrer un front commun en disposant d'un dispositif PNR européen.
En outre, au niveau européen, certains États dont le Royaume-Uni, ont d'ores et déjà mis en oeuvre des dispositifs nationaux de collecte des données PNR et il faudrait éviter une dispersion des politiques nationales dans ce domaine.
D'ailleurs, la France, qui dispose d'un cadre juridique autorisant la mise en place d'un dispositif de collecte des données PNR, par l'article 7 de du 23 janvier 2006 relative à la lutte contre le terrorisme, préfère attendre l'adoption d'un instrument de droit européen, pour mettre en oeuvre un tel dispositif.
Je vais maintenant aborder la question des modalités pratiques de mise en oeuvre d'un régime de collecte des données PNR. En effet, il est essentiel que ces données soient utilisées à bon escient et ne remettent pas en cause les droits fondamentaux.
Ainsi, la proposition de résolution juge indispensable que « le plein respect des droits fondamentaux et, notamment, du droit à la vie privée et du droit à la protection des données soit assuré à chaque étape de la collecte et du traitement des données ».
La proportionnalité de la mesure aux fins poursuivies est un élément essentiel de l'acceptabilité du dispositif. Et surtout, compte tenu de l'utilisation de données personnelles, la mise en oeuvre de ce dispositif exige qu'un mécanisme de protection des données très protecteur soit mis en place.
Or, sur l'ensemble de ces questions, la proposition initiale de décision-cadre de la Commission européenne était très allusive, justifiant les fortes critiques développées par le contrôleur européen de la protection des données, par le groupe de travail des autorités européennes de protection des données (G29) ou par l'Agence européenne des droits fondamentaux, et exposées dans le rapport de votre rapporteur au nom de la commission chargée des affaires européennes.
Les travaux, menés notamment sous présidence française, ont permis de clarifier le régime de protection des données qui sera applicable. La dernière version en date de la proposition de décision-cadre, en date du 29 juillet 2009, répond de façon satisfaisante aux questions qui étaient posées. Il est notamment expressément indiqué que les exigences générales en matière de protection des données s'appliquent également aux traitements effectués par les unités de renseignements passagers.
Un autre point qui a fait l'objet de nombreux débats concerne la durée de conservation des données. La proposition initiale de décision-cadre prévoyait une durée de conservation excessive de 13 ans, même si cette durée comprenait une conservation de 8 ans dans une base de données dite inactive.
Dans ces conditions, la proposition de résolution de la commission chargée des affaires européennes se prononce à juste raison pour que « la durée de conservation soit ramené à un délai raisonnable compris entre trois et six années », soit trois ans dans la base « active » et trois ans dans la base « inactive ».
Sur cette question, il y a encore du chemin à faire pour arriver à un compromis acceptable par tous. Certains envisagent encore une durée de conservation des données qui pourrait atteindre sept ans au maximum, soit une durée totale de conservation qui pourrait aller jusqu'à dix ans.
Une autre question sujette à débat concerne l'éventuelle inclusion de données sensibles parmi les PNR collectées.
Dans la résolution qu'il a adoptée, le Sénat a estimé que cette rubrique devrait être purement et simplement exclue de la liste des données PNR transmises. La proposition de résolution de la commission chargée des affaires européennes suit une démarche différente puisqu'elle estime que la question des données sensibles doit faire « l'objet de protections spécifiques et cohérentes, quelle que soit l'option qui sera retenue entre l'exclusion de toute utilisation ou la possible utilisation à des fins d'enquêtes ou de poursuites en cours ».
Certes, l'option de l'exclusion des données aurait ma préférence dans l'absolu. Néanmoins, il est clair que certaines délégations, notamment la Grande Bretagne qui dispose déjà d'un dispositif de collecte des données PNR, ne renonceront pas à la possibilité de conserver des données dont disposent d'ores et déjà les compagnies aériennes indirectement, par exemple lorsqu'elles demandent à leurs clients s'ils suivent un régime alimentaire particulier. La question importante est alors de s'assurer que la décision-cadre offre, dans une telle hypothèse, un régime juridique suffisamment protecteur.
Pour autant, dans tous les cas, il devra être exclu d'effectuer un profilage sur la base de données sensibles. En outre, le texte définitif de la décision-cadre devra préciser que les autorités opérationnelles compétentes ne devront prendre aucune décision qui produise des effets juridiques défavorables pour une personne ou qui l'affecte de manière significative au seul motif tiré de son appartenance à une des catégories visées par la définition des données sensibles.
Enfin, il me semble indispensable d'obtenir un encadrement plus strict des transferts de données vers un état tiers, afin d'éviter toute diffusion non maîtrisée de données personnelles.
La rédaction initiale de la proposition de décision-cadre était tout à fait insuffisante sur ce point. Des progrès ont d'ores et déjà été réalisés dans la dernière version de la proposition de décision-cadre : de nouvelles garanties ayant été précisées (nécessité du transfert de données dans la prévention du terrorisme ou d'un acte criminel grave ou d'une enquête, niveau adéquat de protection des données dans l'État tiers…).
Pour conclure, il me semble important de rappeler l'utilité de la collecte et de l'analyse des données PNR. Mais, ce régime doit respecter les droits fondamentaux sur l'ensemble des points visés par la proposition de résolution (durée de conservation, données sensibles…) et qui pourraient constituer la base d'un point d'accord entre les 27.