Catégories: Assemblée Nationale, Interventions en réunion de commission, Transports

Commission des lois constitutionnelles, de la législation et de l’administration générale de la République

Mercredi 7 décembre 2011

Séance de 9 heures 30

Compte rendu n° 17

La séance est ouverte à 9 heures 30.

Présidence de M. Jean-Luc Warsmann, président.

La Commission examine, sur le rapport de M. Guy Geoffroy, la proposition de résolution européenne sur la proposition de directive relative à la mise en place d’un système européen de collecte et de traitement des données des dossiers passagers (données PNR) (n° 3962).

M. Guy Geoffroy, rapporteur. Notre Commission est saisie, en application de l’article 151-6 du Règlement, d’une proposition de résolution que j’ai eu l’honneur de déposer au nom de la commission des Affaires européennes, le 16 novembre 2011, sur la proposition de directive du Parlement européen et du Conseil relative à l’utilisation des données des dossiers passagers – les « données PNR (Passenger name record)» – pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.

Notre réunion de ce jour s’inscrit dans la continuité d’un travail que nous avons déjà effectué, en complément des travaux de la commission des Affaires européennes. Nous avons en effet déjà adopté sur le même sujet, le 30 septembre 2009, une résolution par laquelle nous exprimions le souhait d’un texte plus équilibré, ce qui est le cas du projet de directive que nous examinons ce matin.

À l’époque, notre Commission avait adopté une proposition de résolution que j’avais déposée, au nom de la commission chargée des affaires européennes, le 11 février 2009. Elle portait sur la proposition de décision-cadre du Conseil relative à l’utilisation des données des dossiers passagers à des fins répressives. Les nouvelles dispositions du Règlement de l’Assemblée nationale n’étant pas alors entrées en vigueur, notre Commission avait dû se saisir de cette proposition pour qu’elle puisse devenir définitive.

Quel est l’intérêt de la collecte des données PNR dans la lutte contre le terrorisme ? C’est un débat récurrent. Depuis le 11 septembre 2001, nos amis Américains, suivis par d’autres pays du monde, ont mis en place des dispositions visant à utiliser ces données dans la lutte contre le terrorisme et la criminalité grave. Parallèlement, il importe de faire respecter un équilibre qui tienne compte des droits fondamentaux des citoyens qui voyagent. Cette question sous-tend nos réflexions et celles de la commission des affaires européennes.

Il importe par ailleurs, dans le dialogue entre l’Europe et les États-Unis, de rester conscients du fait que les attentats du 11 septembre ont été commis sur le territoire américain à partir de vols intérieurs. Si donc nous comprenons la nécessité d’utiliser les données personnelles, cette utilisation doit se faire dans le souci d’un véritable équilibre. Or, comme je l’ai déjà dit le 30 septembre 2009, l’accord de 2007 n’est pas un accord, car il nous a été imposé par les États-Unis et nous avions alors dénoncé son caractère peu équilibré.

L’objet de la proposition de résolution européenne dont nous discutons aujourd’hui est de mettre en place un système de collecte et de traitement des données PNR pour la lutte contre le terrorisme et la criminalité grave à l’échelle européenne, afin de nous doter d’un outil de travail qui nous permette d’être plus cohérents dans l’approche de ces questions sur le territoire européen, sachant que la mobilité des personnes exige que nous soyons beaucoup plus au clair sur ces questions. Lorsque nous aurons mis en place un dispositif à l’échelle européenne, nous serons mieux armés pour un dialogue équilibré et constructif avec l’ensemble de nos partenaires internationaux, qu’il s’agisse des États-Unis ou d’autres pays, comme l’Australie et le Canada, avec lesquels nous dialoguons toujours en vue d’une négociation finale. Les stratégies de ces trois pays ont changé depuis le 11 septembre, mais des pays membres de l’Union ont également commencé à prendre des dispositions. Ainsi, la Grande-Bretagne possède sans doute le régime le plus avancé en la matière et peut se prévaloir d’une certaine efficacité. Nous utilisons, quant à nous, l’ensemble des données PNR pour poursuivre et prévenir diverses infractions.

La Belgique et la Suède utilisent les données PNR à des fins douanières ou de lutte contre le terrorisme, avec de premiers résultats très appréciables : entre les deux tiers et 95 % des saisies de drogue résultent exclusivement ou presque exclusivement du traitement des données PNR. La douane française atteint des statistiques comparables, par exemple à l’aéroport de Roissy-Charles de Gaulle. La Commission européenne a également fourni des exemples de cas avérés dans lesquels les données PNR avaient permis de démanteler des réseaux de trafic d’êtres humains.

Comme je l’ai indiqué, notre Commission s’est prononcée en 2009 sur une proposition de décision-cadre, datant de 2007. Notre position s’articulait autour de cinq points, qui restent d’actualité même si le projet de directive est désormais mieux équilibré.

Tout d’abord, la proposition de résolution jugeait indispensable d’assurer le plein respect des droits fondamentaux, notamment du droit à la vie privée et du droit à la protection des données. Elle rappelait ensuite l’importance de la question de la durée de conservation des données, proposant de ramener cette durée à un délai raisonnable, compris entre trois et six années, alors que la proposition initiale de la Commission européenne prévoyait une durée de conservation de treize ans, dont huit dans une base « inactive ». La résolution de 2009 estimait également que les données sensibles, relatives par exemple au handicap ou au régime alimentaire permettant de déduire l’appartenance à une religion, devaient faire l’objet de « protections spécifiques et cohérentes ». Elle jugeait encore indispensable un encadrement plus strict des transferts de données vers des États tiers. Enfin, elle estimait nécessaire de rechercher une réciprocité croissante de l’accès aux données PNR.

Bien que difficile et encore déséquilibré, le dialogue avec les États-Unis progresse. Je présenterai d’ailleurs ce soir devant la commission des Affaires européennes une communication sur l’accord qui vient d’être conclu entre l’Union européenne et les États-Unis.

La présente proposition de résolution vise à exprimer notre opinion sur la directive qui nous est proposée, qui a pour finalités la détection et la prévention des infractions terroristes et des infractions graves, ainsi que les enquêtes et les poursuites en la matière. Les vols visés seraient les vols internationaux à destination ou en provenance des États membres.

La question des vols intra-européens, sur laquelle un amendement du groupe SRC nous permettra de revenir plus en détail, est problématique. En effet, pour des motifs de proportionnalité, ces derniers avaient été exclus du dispositif. Or, je le répète, les attentats du 11 septembre ont été commis à partir de vols internes aux États-Unis : il ne faut pas exclure a priori les vols intra-européens du dispositif, sous peine de vider celui-ci de sa substance ab initio. Du reste, les services opérationnels, que j’ai rencontrés dans le cadre de la préparation du rapport d’information que j’ai rédigé au nom de la commission des Affaires européennes, ont tous remis en cause cette exclusion, qui ferait perdre au projet une grande partie de son utilité. Une nouvelle rédaction est donc à l’étude, qui permettrait aux États membres de sélectionner les vols pour lesquels ils souhaitent disposer des données des dossiers passagers. C’est pourquoi le point 7 de la proposition de résolution affirme que les vols intra-européens ne doivent pas, par principe, « être exclus du champ d’application de la directive ».

La durée de conservation des données prévue par le projet de directive serait nettement plus raisonnable que celle proposée en 2007, qui était de treize années au total. Cette durée doit être précisément justifiée. Le dispositif de la directive qui nous est proposée est passé d’un excès à l’autre : les données ne seraient conservées que trente jours puis, pendant une durée de cinq ans, après que les éléments nominatifs auront été masqués.

Cette durée de conservation de trente jours seulement ne manquera pas d’engendrer des difficultés. Dans la recherche du juste équilibre entre la lutte contre le terrorisme et la protection des droits fondamentaux, il conviendra de veiller à ce que l’outil conserve toute sa pertinence opérationnelle. Des doutes très sérieux ont été émis sur cette durée de conservation, car des enquêtes pourraient être freinées si les données n’étaient plus utilisables à compter du trente et unième jour.

Les autorités françaises souhaitent – et la commission des Affaires européennes partage ce souhait – que le premier délai de conservation soit porté à un an, durée qui me semble tout à fait justifiée. Pour certaines formes de criminalité en effet, on observe fréquemment une stratégie consistant à masquer le travail préparatoire par des trajets séquencés, un vol étant suivi d’un second quelques mois plus tard. Dans ce cas, une durée de conservation d’un mois risquerait de vider le projet de directive de son effectivité.

La directive prévoit également dans chaque État membre la création d’une unité de renseignements « passagers » destinée à recevoir les données transférées par les compagnies aériennes et à les exploiter, puis à fournir les résultats de ces analyses aux autorités nationales compétentes.

Le projet de directive exclut, en outre, clairement l’utilisation des données « sensibles ». Il faut néanmoins veiller à ce que la rédaction du texte n’exclue par toutes les données au motif qu’elles seraient sensibles. Ainsi, des indications relatives au sexe, à l’âge et à la nationalité pourraient parfois être d’une grande utilité.

Enfin, les transferts de données vers les États tiers, question particulièrement sensible, seraient bien mieux encadrés qu’ils ne l’étaient dans le projet inabouti de décision-cadre de 2007, avec notamment l’obligation de recueillir l’accord de l’État membre d’origine des données avant le transfert, ce qui semble la moindre des choses.

Malgré les progrès réalisés, il faut aussi constater, comme l’a acté la commission des Affaires européennes, que le contrôleur européen de la protection des données et le G29, qui regroupe les autorités de protection des données européennes, ainsi que l’Agence européenne des droits fondamentaux, ont émis des avis négatifs sur le texte. Ils estiment notamment que la proportionnalité et la nécessité de la mesure ne sont pas suffisamment justifiées. L’équilibre ne serait pas atteint entre les risques et les moyens mis en œuvre. Ces réserves ne doivent cependant pas bloquer notre réflexion, ni le soutien qu’il faut apporter à l’évolution positive de ce dossier, même si certaines cours constitutionnelles nationales – celles de l’Allemagne, de la Bulgarie et de la Roumanie – ont rendu récemment des arrêts qui font peser des risques sur la possibilité d’établir des régimes de collecte de données de grande ampleur et systématique.

Pour résumer, ce projet de directive est bien plus satisfaisant que la proposition de décision-cadre de 2007, ce que rappelle et salue le point 5 de la proposition de résolution.

Nous ne pouvons que souhaiter que cet instrument aboutisse, et cela pour deux raisons. Tout d’abord, il existe un réel risque de voir coexister au sein de l’Union plusieurs systèmes. Il serait très dommageable que plusieurs dispositifs PNR coexistent à l’échelle européenne et soient mal articulés. Ce serait là un motif de fragilité tant interne que dans notre partenariat avec nos amis Australiens, Canadiens et Américains. Disposer d’un accord européen sur ce sujet serait un grand atout dans ce dialogue. Sans entrer dans le détail de l’accord qui vient d’être finalisé entre l’Union européenne et les États-Unis en matière de PNR, je puis vous indiquer que la période de conservation des données a été fixée à six mois, ce qui conduira très certainement le dispositif européen à se caler sur cette durée. Ce serait là un élément de la cohérence nécessaire au sein de l’Union européenne et vis-à-vis de nos partenaires.

Je souhaite qu’à l’instar de la commission des Affaires européennes, qui l’a adopté à l’unanimité au prix de quelques modifications, nous puissions adopter ce projet de résolution.

Mme Marietta Karamanli. Cette proposition de directive, qui fait suite à la proposition de 2007, présente des améliorations relatives à la protection des données et restreint le champ d’application du dispositif et les conditions de traitement des données PNR. Sur le fond, cependant, la très grande masse des informations traitées et l’évaluation systématique de tous les passagers suppose que soient démontrés à la fois son impact par rapport au résultat visé et la proportionnalité des mesures utilisées de façon courante en l’absence de critères évaluant objectivement le risque terroriste, c’est-à-dire l’importance de ce risque et sa fréquence.

Nous avons présenté plusieurs amendements, qui apportent des précisions importantes, dans la mesure où la qualité du dispositif et son acceptation juridique, politique et sociale sont directement liées à la limitation des dérogations qu’il prévoit en matière d’utilisation des données personnelles.

M. Michel Hunault. Je souhaiterais savoir quel est le statut du contrôleur européen des données ? S’agit-il d’une autorité indépendante et peut-il faire rapport aux parlements nationaux sur la mise en place de ce dispositif ?

M. Philippe Gosselin. Je me réjouis que la représentation nationale puisse intervenir au moyen de telles résolutions. La directive proposée a l’intérêt d’offrir un système unique qui permettra de peser davantage à l’extérieur, ainsi qu’un meilleur encadrement du transfert des données vers des États tiers, une meilleure proportionnalité et une meilleure réciprocité, mais des progrès restent nécessaires en vue d’une proportionnalité encore plus adaptée. Le dispositif proposé présente en outre quelques limites, rappelées par le rapporteur et liées notamment aux réserves émises par les cours constitutionnelles allemande, bulgare et roumaine et par le G29, qui réunit l’ensemble des équivalents européens de la Commission nationale de l’informatique et des libertés (CNIL).

M. Philippe Goujon. Les données PNR ont fait la preuve de leur efficacité dans la lutte contre le terrorisme et la grande criminalité, et votre rapport d’information, monsieur le rapporteur, évoque les résultats très importants obtenus par les douanes françaises grâce à l’utilisation de ces données par les cellules de ciblage de Roissy. De fait, pas moins de 80 % des saisies de cocaïne sont imputables à l’utilisation de ces données, qui se traduit par des taux de réussite sept fois supérieurs à ceux obtenus par d’autres méthodes d’analyse.

Des mesures de formation spécifique des agents chargés de ciblage, visant à mieux les confronter aux réalités de ce contrôle, sont-elles envisagées ?

Au Royaume-Uni, pays très en avance dans ce domaine, le recours à ces méthodes a permis d’interpeller 89 000 personnes, dont des terroristes et des trafiquants d’être humains, grâce à un ciblage sur la base de critères prédéfinis. Quel calendrier préconisez-vous pour la mise en place d’un tel système ? Celui-ci, s’il s’applique aux vols intérieurs, permettrait-il d’alléger les formalités d’embarquement, lesquelles donnent lieu à des contrôles très tatillons mais peu efficaces ?

Enfin, alors que nous allons, je l’espère, adopter prochainement une proposition de loi relative à la protection de l’identité, l’introduction de ce nouveau titre sécurisé sera-t-il un apport supplémentaire à la sécurisation des déplacements aériens qui fait l’objet de la résolution que nous examinons ?

M. le rapporteur. Madame Karamanli, les amendements que vous défendrez tout à l’heure nous permettront de poursuivre l’échange.

Monsieur Hunault, le contrôleur européen des données a été créé par le règlement n° 45/2001 du 18 décembre 2000, qui établit l’indépendance institutionnelle de cette autorité de contrôle. Nous devrons nous renseigner pour savoir s’il est possible d’obtenir de cette autorité d’autres rapports que son rapport annuel, car il serait en effet pertinent de pouvoir mobiliser toutes les informations qu’elle est susceptible de mettre à notre disposition.

Monsieur Gosselin, je souscris à votre jugement selon lequel il reste encore des progrès à faire. À cet égard, les parlements nationaux peuvent jouer, aux côtés de leurs gouvernements, un rôle important. Depuis l’origine, soit depuis une dizaine d’années, la position de la France sur les PNR a toujours tenu grand compte des délibérations de l’Assemblée nationale, et M. Jacques Barrot, lorsqu’il était Commissaire européen chargé de la justice et des affaires intérieures, a tenu à intégrer à l’échelle de la Commission européenne certaines recommandations et observations formulées par notre assemblée.

Monsieur Goujon, la nécessité d’une formation spécifique des personnels en vue d’un ciblage équilibré, mais utile, n’a pas échappé aux responsables des services des douanes, que j’ai eu l’occasion d’auditionner dans le cadre de la préparation de mon rapport pour la commission des Affaires européennes. Ces personnels sont effectivement formés pour répondre aux préoccupations que vous exprimez.

Il ne me semble pas, en revanche, que les dispositions que nous examinons permettent d’envisager un allégement des contrôles à l’embarquement, car elles portent sur les données, et non pas sur les matériels, et ne sauraient éliminer tous les risques à ce niveau.

Quant au titre sécurisé, les informations qu’il contient sont différentes de celles qui sont recueillies au titre des données PNR : il s’agit plus d’une complémentarité que du remplacement des unes par les autres.

La Commission passe à la discussion des amendements déposés à l’article unique de la proposition de résolution européenne.