Arrêt CJUE C‑817/​19 du 21 juin 2022

La Directive (UE) 2016/​681 du Parlement euro­péen et du Conseil, du 27 avril 2016, rela­tive à l’uti­li­sa­tion des données des dossiers passa­gers (plus connu sous l’acronyme anglais PNR pour Passenger Name Record) pour la préven­tion et la détec­tion des infrac­tions terro­ristes et des formes graves de crimi­na­lité, ainsi que pour les enquêtes et les pour­suites en la matière (Directive PNR), impose aux compa­gnies aériennes le trai­te­ment systé­ma­tique d’un nombre impor­tant de données PNR des vols extra-UE, à l’entrée et à la sortie de l’Union, dans un but de lutte contre le terro­risme et les formes graves de crimi­na­lité. L’art. 2 de cette direc­tive octroie aux États membres la possi­bi­lité d’appliquer cette direc­tive égale­ment aux vols intra-UE.

En Belgique, les auto­ri­tés ont adopté une loi du 25 décembre 2016, qui trans­po­sait en droit belge à la fois la Directive PNR, la Directive API (qui concerne l’obligation pour les trans­por­teurs de commu­ni­quer les données rela­tives aux passa­gers) et la Directive 2010/​65 (qui a pour objet les forma­li­tés décla­ra­tives appli­cables aux navires à l’entrée et/​ou à la sortie des ports des États membres). La loi du 25 décembre 2016 utilise notam­ment la possi­bi­lité d’étendre la collecte des données PNR à l’ensemble des passa­gers de vols intra-UE, ainsi qu’à conser­ver ces données de manière géné­rale pour une durée de cinq ans.

En juillet 2017, la Ligue des droits humains (LDH) a saisi la Cour consti­tu­tion­nelle belge d’un recours en annu­la­tion contre la loi du 25 décembre 2016 préci­tée. La LDH soute­nait que la loi mécon­nais­sait le droit au respect de la vie privée et à la protec­tion des données à carac­tère person­nel. Elle criti­quait notam­ment le carac­tère géné­ral de la collecte, du trans­fert et du trai­te­ment de ces données. Par ailleurs, cette loi limi­te­rait égale­ment la libre circu­la­tion des personnes au sein de l’UE, en ce sens qu’elle réta­blit indi­rec­te­ment des contrôles aux fron­tières en éten­dant le système PNR aux vols intra-UE.

Suite à cette saisine, la Cour consti­tu­tion­nelle belge a posé à la CJUE dix ques­tions préju­di­cielles portant sur la vali­dité de la Directive PNR, ainsi que sur la compa­ti­bi­lité de la loi belge avec le droit de l’UE.

Dans son arrêt du 21 juin 2022, la CJUE a consi­déré que la Directive PNR était plei­ne­ment valide et qu’elle entrait en conflit avec la loi belge du 25 décembre 2016 sur certains points.

La CJUE a tout d’abord rappelé qu’un acte de l’Union doit être inter­prété d’une manière qui ne remette pas en cause sa vali­dité et en confor­mité avec l’ensemble du droit primaire, préci­sé­ment avec les dispo­si­tions de la Charte des droits fonda­men­taux de l’Union euro­péenne (la Charte).

Dans son arrêt, la CJUE a retenu que la Directive PNR compor­tait des ingé­rences d’une gravité certaine dans les droits garan­tis par la Charte. Elle a ainsi conclu que le trans­fert, le trai­te­ment et la conser­va­tion des données PNR prévus par la Directive PNR sont limi­tés au strict néces­saire aux fins de la lutte contre les infrac­tions terro­ristes et les formes graves de crimi­na­lité, à condi­tion que les pouvoirs prévus par la direc­tive fassent l’objet d’une inter­pré­ta­tion restrictive.

Pour ce faire, l’application de la Directive PNR ne saurait notam­ment s’étendre à d’autres domaines que les infrac­tions terro­ristes et aux formes graves de crimi­na­lité ayant un lien objec­tif avec le trans­port aérien de passagers.

Ainsi, l’extension possible de la Directive PNR à tout ou partie des vols intra-UE, qui est lais­sée aux États membres, doit être limi­tée. Pour que l’extension soit valable, elle doit pouvoir faire l’objet d’un contrôle effec­tif par une juri­dic­tion ou par une entité admi­nis­tra­tive indé­pen­dante, dont la déci­sion est dotée d’un effet contrai­gnant, et à des condi­tions restrictives.

Qui plus est, l’évaluation des données PNR par l’unité d’information passa­gers (UIT) ne peut confron­ter ces données qu’aux seules bases de données concer­nant les personnes ou les objets recher­chés faisant l’objet d’un signalement.

Ensuite de cela, la commu­ni­ca­tion et l’évaluation posté­rieures des données PNR, soit après l’arrivée ou le départ de la personne concer­née, ne peuvent être effec­tuées que sur la base de circons­tances nouvelles et d’éléments objec­tifs qui, soit sont de nature à fonder un soup­çon raison­nable d’implication de cette personne dans des formes graves de crimi­na­lité présen­tant un lien objec­tif avec le trans­port aérien des passa­gers, soit permettent de consi­dé­rer que ces données pour­raient, dans un cas concret, appor­ter une contri­bu­tion effec­tive à la lutte contre des infrac­tions terro­ristes présen­tant un tel lien.

Dans un deuxième temps, la CJUE a consi­déré que la Directive PNR, en rapport avec la Charte, s’oppose à une légis­la­tion natio­nale qui auto­ri­se­rait le trai­te­ment des données PNR recueillies confor­mé­ment à la Directive, mais à des fins autres que celles visant des infrac­tions terro­ristes et des formes graves de crimi­na­lité présen­tant un lien objec­tif avec le trans­port aérien.

Si l’on en vient à la ques­tion du délai de conser­va­tion, la CJUE a jugé que l’art. 12 de la Directive PNR, en rapport avec la Charte, s’oppose à une légis­la­tion natio­nale qui prévoit une durée géné­rale de conser­va­tion de ces données de cinq ans, appli­cable indif­fé­rem­ment à tous les passa­gers aériens. La Directive PNR prévoit pour sa part une période de conser­va­tion initiale de six mois. Passé ce délai, il n’est pas possible de conser­ver des données PNR en ce qui concerne les passa­gers aériens pour lesquels ni l’évaluation préa­lable, ni les éven­tuelles véri­fi­ca­tions effec­tuées au cours de la période de conser­va­tion initiale de six mois, ni aucune autre circons­tance, n’ont révélé l’existence d’éléments objec­tifs de nature à établir un risque en matière d’infractions terro­ristes ou de formes graves de crimi­na­lité. À l’inverse, la CJUE a estimé que la conser­va­tion des données PNR de l’ensemble des passa­gers aériens soumis au système instauré par cette direc­tive au cours de la période initiale de six mois est proportionnée.

En dernier lieu, la CJUE a consi­déré que le droit de l’UE s’oppose à ce qu’une légis­la­tion natio­nale prévoie, en l’absence de menace terro­riste réelle et actuelle ou prévi­sible, un système de trans­fert par les trans­por­teurs aériens et les opéra­teurs de voyage, ainsi que de trai­te­ment par les auto­ri­tés compé­tentes, des données PNR de l’ensemble des vols intra-UE.

La CJUE a ainsi clari­fié les limites qu’une loi natio­nale ne doit pas dépas­ser dans le cadre de la trans­po­si­tion de la Directive PNR, et parti­cu­liè­re­ment restreint l’application aux vols intra-UE.

Parallèle avec le droit suisse

En Suisse, les auto­ri­tés fédé­rales ont mis en consul­ta­tion le 13 avril 2022 l’avant-projet de loi sur les données rela­tives aux passa­gers aériens (AP-LDPa). La genèse de cette loi est la même que la Directive PNR, à savoir que les entre­prises de trans­port aérien récoltent des données PNR.

À ce jour, les entre­prises de trans­port aérien actives en Suisse ont l’obligation de récol­ter ces données sur la base de la Directive PNR pour tout vol qui est opéré à desti­na­tion d’un pays qui utilise le PNR, soit 62 pays, dont ceux de l’UE, les États-Unis et le Canada. Ainsi, ces infor­ma­tions doivent être trans­mises par les compa­gnies aériennes au pays de desti­na­tion. Mais, en l’absence de base légale, la Suisse ne peut pas trai­ter les données collectées.

Selon le Conseil fédé­ral, les données PNR permet­tront d’identifier avant le départ, ou à l’arrivée d’un vol à desti­na­tion de la Suisse, des terro­ristes ou des personnes ayant commis une infrac­tion pénale grave, permet­tant alors à la police de prendre les mesures néces­saires. Ces données permet­tront égale­ment de rece­voir des infor­ma­tions rela­tives aux dépla­ce­ments d’une personne dans le cadre d’une enquête de police. Qui plus est, il serait alors possible de détec­ter des orga­ni­sa­tions et des réseaux crimi­nels, ainsi que d’identifier préci­sé­ment des suspects, ou encore des victimes poten­tielles de la traite d’êtres humains.

Selon l’AP-LDPa, c’est l’Unité d’information des passa­gers, compo­sée de colla­bo­ra­teurs de la Confédération et de person­nel déta­ché par les cantons, qui pourra accé­der aux données pour accom­plir les tâches de trai­te­ment des données rela­tives aux passa­gers aériens issues de Suisse et de l’étranger, et pour trans­mettre les résul­tats obte­nus aux auto­ri­tés compétentes.

L’AP-LDPa ne compi­lera pas de données sensibles, telles que les convic­tions reli­gieuses qui pour­raient être déduites du choix d’un repas spéci­fique. Qui plus est, les données rela­tives aux passa­gers aériens seront auto­ma­ti­que­ment pseu­do­ny­mi­sées après six mois, ce qui a pour consé­quence que les infor­ma­tions person­nelles iden­ti­fiables, telles que le nom, les coor­don­nées ou la date de nais­sance ne seront plus visibles. La seule possi­bi­lité de lever la pseu­do­ny­mi­sa­tion sera, en cas de soup­çon concret, sur déci­sion du Tribunal admi­nis­tra­tif fédé­ral. Finalement, les données PNR seront entiè­re­ment effa­cées après cinq ans.

L’art. 6 AP-LDPa prévoit que les données rela­tives aux passa­gers aériens peuvent être trai­tées unique­ment à des fins de préven­tion, de détec­tion, d’enquête et de pour­suite en matière d’infractions terro­ristes et autres infrac­tions pénales graves. L’alinéa 3 de cet article précise ce que sont des infrac­tions pénales graves, à savoir :

1. les infrac­tions visées à l’annexe 1 LEIS (loi sur l’échange d’informations Schengen) qui sont passibles d’une peine priva­tive de liberté de plus de trois ans et qui peuvent être attri­buées à une caté­go­rie d’infraction énon­cée à l’annexe 2 de la présente loi ;
2. les infrac­tions rele­vant de la compé­tence de l’Office fédé­ral de la douane et de la sécu­rité des fron­tières en matière de pour­suite pénale et qui sont passibles d’une peine priva­tive de liberté d’au moins trois ans.

On constate que l’AP-LDPa va plus loin que la Directive PNR de l’UE, qui se cantonne à trai­ter des données en cas de menace terro­riste et d’infraction pénale grave unique­ment liée au trafic aérien. Or, l’AP-LDPa souhaite égale­ment trai­ter les données PNR pour toutes infrac­tions pénales graves listées ci-dessus, ce qui a une inci­dence bien plus impor­tante que le seul trafic aérien.

Qui plus est, la Suisse n’étant pas partie à l’UE, les données PNR récol­tées concer­ne­ront tous les vols à desti­na­tion de l’étranger depuis la Suisse, et inver­se­ment. Ceci a ainsi le même impact que l’application de la Directive PNR aux vols intra-europe, et risque de réins­tau­rer une forme de contrôle aux fron­tières abolie à ce jour dans l’espace Schengen, tel que l’a soulevé la LDH dans son recours contre la loi belge.

Il ressort de cela que, quand bien même la Suisse n’est pas soumise au droit euro­péen, ni aux déci­sions de la CJUE, il serait cohé­rent d’avoir un droit homo­gène avec la Directive PNR, et ne pas cher­cher à utili­ser ces données à des fins plus éten­dues que le terro­risme, ou des infrac­tions pénales liées au trafic aérien. Il en va de même en ce qui concerne la durée de conser­va­tion des données prévue par l’AP-LDPa qui impac­tera plus lour­de­ment les passa­gers qu’en appli­ca­tion de la Directive PNR.