La Cour de justice de l’UE limite la surveillance des transports aériens au « strict nécessaire »

La directive permet aux États membres d’étendre les mêmes procédures de contrôle aux vols en provenance d’autres pays de l’UE, à condition d’en informer la Commission européenne. [Billion Photos/Shutterstock]

La Cour de justice de l’Union européenne a jugé, mardi 21 juin, que la directive de l’UE relative aux données des dossiers passagers (PNR) devait être limitée pour être compatible avec les droits fondamentaux.

La directive PNR a été adoptée en 2016, introduisant un mécanisme par lequel les compagnies aériennes doivent remettre aux autorités nationales les données de tous les passagers qui entrent ou sortent de l’Union européenne dans le but de prévenir, détecter ou enquêter sur les activités terroristes et les crimes graves.

La directive permet aux États membres d’étendre les mêmes procédures de contrôle aux vols en provenance d’autres pays de l’UE, à condition d’en informer la Commission européenne. Tous les pays de l’UE, à l’exception de l’Autriche et de l’Irlande, ont notifié à la Commission leur intention d’agir ainsi.

En Belgique, la transposition de la directive en droit national a été contestée par la Ligue des droits humains, qui a introduit un recours en annulation devant la Cour constitutionnelle belge en juillet 2017. L’ONG a accusé la législation de mettre en place une surveillance généralisée qui porte atteinte aux droits fondamentaux à la vie privée et à la protection des données.

En outre, l’organisation de la société civile a contesté le fait que la directive allait également à l’encontre de la libre circulation des personnes, l’un des principes fondamentaux de l’UE, estimant que la collecte et le traitement des données personnelles sur les vols intra-UE rétablissaient de fait les contrôles aux frontières.

Ayant des doutes sur la manière d’interpréter la mise en œuvre de la législation de l’UE avec certains principes clés du droit européen, le tribunal belge a renvoyé l’affaire devant la Cour de justice de l’UE, conduisant ainsi à cet arrêt historique.

Limité au « strict nécessaire »

Dans son verdict, la Cour de justice de l’UE n’est pas allée jusqu’à abroger l’ensemble de la législation, comme le souhaitait l’ONG belge, mais elle a reconnu que la directive portait gravement atteinte aux droits à la vie privée et à la protection des données, car elle introduisait un mécanisme de surveillance continue, non ciblée et systémique.

Les juges ont donc précisé que, dans la mesure du possible, le droit communautaire doit être interprété de manière à ne pas affecter la validité du droit primaire, en l’occurrence la Charte des droits fondamentaux de l’Union européenne.

En d’autres termes, la Cour a interprété de manière restrictive le pouvoir conféré par la directive aux autorités publiques, en ordonnant que ces pratiques de traitement et de conservation des données soient limitées à ce qui est strictement nécessaire pour lutter contre le terrorisme et la grande criminalité.

« Si la Cour s’est abstenue d’invalider purement et simplement la directive, elle a imposé de nombreuses conditions et restrictions détaillées et exigeantes sur l’utilisation des données PNR et surtout sur l’exploitation des données à des fins de profilage », a déclaré Douwe Korff, professeur émérite de droit international à l’université métropolitaine de Londres.

M. Korff a interprété l’arrêt comme ayant des implications plus larges pour la future législation européenne, soulignant que « plutôt que d’étendre le chalutage, l’extraction et le profilage généralisés des données, comme l’UE veut le faire par le biais d’Europol, ces mesures invasives devraient être abandonnées. »

Collecte de données : les institutions européennes renforcent le mandat d’Europol

Les co-législateurs européens se sont mis d’accord sur un nouveau mandat pour Europol, mettant fin à une controverse sur les pratiques de traitement des données de l’agence.

En pratique, l’arrêt constate que les informations que les autorités publiques peuvent utiliser sont limitées à celles qui ne sont pas explicitement couvertes par la directive et que le contrôle des données des passagers ne peut avoir lieu que s’il existe un lien objectif entre une activité terroriste ou un crime grave et un des passagers de l’avion.

De même, l’extension du contrôle aux vols intracommunautaires doit également être limitée à une menace terroriste existante ou envisageable, une décision qui doit être examinée par un tribunal ou un organe administratif national indépendant.

En l’absence de menace immédiate, l’État membre ne peut surveiller que certains itinéraires, modes de déplacement ou aéroports, à condition que cela soit dûment justifié.

Contrôle humain et conservation des données

L’arrêt ordonne également que les systèmes automatisés utilisés pour identifier les personnes suspectes soient fondés sur des critères objectifs et non discriminatoires. Un examen humain devra ensuite comparer les personnes signalées à la liste des personnes recherchées ou faisant l’objet d’un signalement.

La décision souligne également que les systèmes automatisés ne peuvent pas utiliser des techniques d’apprentissage automatique, car « étant donné l’opacité qui caractérise le mode de fonctionnement des technologies d’intelligence artificielle, il pourrait être impossible de comprendre la raison pour laquelle un programme donné est parvenu à une correspondance positive. »

« En ces mois où les institutions européennes travaillent sur la loi sur l’IA, la Cour a souligné l’importance de ne pas utiliser des systèmes d’apprentissage automatique qui peuvent modifier les méthodes de vérification des suspects potentiels sans supervision humaine. La Cour entend ainsi également écarter le risque d’une surveillance de masse automatisée », a déclaré Vincenzo Tiani, associé au sein du cabinet d’avocats Panetta.

En outre, le tribunal de l’UE a établi que les données des passagers ainsi collectées ne peuvent être utilisées à d’autres fins que celles prévues par la directive et que les données des passagers qui n’ont pas présenté de signes suspects doivent être supprimées après six mois.

« Tous les États membres de l’UE devront désormais limiter leur utilisation des données PNR en raison de leur caractère intrusif. Ils doivent appliquer cet arrêt rapidement et cesser de faire fi des décisions de la Cour, en particulier dans le domaine de la conservation des données », a déclaré Estelle Massé, responsable de la législation européenne chez Access Now.

Subscribe to our newsletters

Subscribe