Committee on Citizen's Freedoms and Rights, Justice and Home Affairs - Freedom, security and justice : An agenda for Europe. La città ideale di Piero della FrancescaCommittee on Citizen's Freedoms and Rights, Justice and Home Affairs - Freedom, security and justice : An agenda for Europe. La città ideale di Piero della FrancescaLIBE
Logo - Committee on Citizens' Freedoms and Rights, Justice and Home Affairs



Auditions ELSJ

Programme

Contributions

Compte-rendu

Note du dossier

Presse

Poster

Contact
Séminaire publique sur la protection des données depuis
le 11 septembre 2001 : quelle stratégie pour l'Europe ?

 

Compte-rendu

 

La Commission des libertés et des droits des citoyens, de la justice et des affaires intérieures a organisé aujourd'hui une audition sur "la protection des données depuis le 11 septembre 2001 : quelle stratégie pour l'Europe ?".

La Commission européenne (DG MARKT) a pris la parole pour faire le point sur l'état d'application de la Directive 95/46 sur la protection des données. Il y a eu du retard dans l'application de la directive, notamment deux Etats membres n'ont pas encore transposé la directive qui, en général, n'est pas appliquée suffisamment bien dans plusieurs Etats Membres. La Commission n'exclue pas la possibilité d'entamer la procédure d'infraction à cet égard. Il a été constaté notamment un degré très bas de "awareness" des droits et d'obligations qui émanent de la directive.

M. Giovanni BUTTARELLI, Président de l'Autorité Schengen, s'inquiète de la difficulté, après le 11 septembre, de trouver un juste équilibre entre protection des données et exigences liées à la sécurité. L'Europe a donné une réponse positive et a su trouver presque toujours cet équilibre : l'Union européenne a su procéder au gel des avoirs des terroristes, à des contrôles bancaires, sans briser la loi sur la protection des données, comme dans le règlement du décembre 2001 dans lequel on dit que les informations donnés sur les terroristes présumés peuvent être utilisés seulement pour des crimes graves. Cela n'a pas été le cas, par exemple pendant une manifestation pacifique de Greenpeace à Anvers où les donnés des manifestants ont été enregistré dans le système d'information Schengen. Certaines ONG ne sont pas satisfaites des garanties de l'accord entre Europol et Etats-Unis.


Il y a des propositions pour améliorer le Système d'information de Schengen et, notamment pour chercher une meilleure intégration entre Système Schengen et la base de données Europol, le système Douanes et Eurojust. Cela pour garantir une meilleure protection des données. Notamment les problèmes se compliquent dans le 3ème pilier, où se multiplient les banques de données et où on constate un manque de coordination. Il est aussi possible que l'adhésion de nouveaux Etats, avec des systèmes de protection différents puisse créer de nouveaux problèmes.

Il faut absolument harmoniser aussi les diverses règles qui M. BUTTARELLI demande à la Convention européenne "de faire un pas en avant et d'harmoniser la protection des données du premier et du troisième pilier".

Prof. Stefano RODOTÀ (Président du Groupe article 29 Dir. 95/46) a rappelé que l'on se trouve dans un moment difficil pour la protection des données. Il y a une pression très forte pour limiter les garanties en fonction des raisons de sécurité. Toutefois l'Union européenne ne veut pas abandonner un système qui est "le modèle de protection des données le plus fort au monde". La Directive 95/46 a été suivie par la Charte des droits fondamentaux, dans son art. 8, élève au niveau constitutionnel la protection des données, en tant que Droit fondamental, autonome et attribue au citoyen lui-même, ce qui comporte aussi l'accès aux données et la possibilité de les corriger, le cas échéant. La Convention européenne étudie à présent la possibilité d'avoir un article spécifiquement consacré au thème de la protection des données. Cela est considéré utile s'il ajoute des droits pas prévus déjà dans la Charte, si non il s'agirait d'une doublon à éviter? Ce qui est vraiment important c'est d'abolir la distinction entre pilier en matière de protection des données.

Il a ajouté qu'il faut une protection effective des données, assujettie à une autorité de contrôle indépendante. La Directive 95/46 garantie la libre circulation des données et une protection élevée. Le 13 mars 2001, les Commissaires Prodi et Vitorino ont souscrits l'intention, par les institutions européennes, de respecter les principes inscrits dans la Charte et la protection des données est un d'entre eux.

M. GIANNAKOPOULOS (Présidence grecque) a souligné la grande attention de la Présidence à ce thème. La Constitution grecque prévoit la même protection prévue dans la Charte des droits fondamentaux, mais elle n'est pas encore intégrée dans les traités. Il faut que, en occasion du nouveau traité soit garanti le même niveau de droits prévus dans la Charte. La Présidence ne pense pas que la directive 95/46 doive être modifiée, mais elle a l'intention de présenter une proposition sur la création d'un système unique de protection des données pour le premier et troisième pilier.

Mme PACIOTTIi (MPE - PSE) s'est montrée très concernée par le manque de respect vis-à-vis de la Charte des droits fondamentaux et de la Directive 95/46. Elle rappelle qu'à présent les droits des citoyens européens ne sont pas respectés aux Etats-Unis et demande à l'administration américaine d'établir le principe de réciprocité en matière de respect de la protection des données. Elle a manifesté l'urgence d'établir un mandat clair pour définir une base juridique afin que la Commission puisse négocier un accord définitif avec les Etats Unis en matière de protection de données lors des vols transatlantiques. Le Parlement européen est très concerné et attend de la Commission de donner suite à la résolution adoptée par le Parlement le 13 mars dernier.

M. COELHO (MEP - PPE-DE) a dit que l'on vit dans une époque où il est très important de rappeler quelles sont nos valeurs et la protection des données est l'un d'entre eux ; on ne peut pas sacrifier ces valeurs au nom du risque pour la sécurité. Il a aussi défendu la création du nouveau Système de Schengen et est en faveur de l'abolition des piliers, avec une protection uniforme des données.
Sur la question du transfert des données aux Etats-Unis, M. COELHO a demandé que cela puisse être réglé par un texte multilatéral, avec des garanties de protection des données.

Le représentant du Conseil de l'Europe a rappelé que le Conseil travaille depuis trente ans sur la protection des données. En 1981 a été approuvée la Convention 108, premier instrument international juridique contraignant en ce domaine et le seul à vocation universelle, parce qu'ouverte aussi à des Etats non-européens. Elle a été ratifiée par 30 Etats européens et signée par quatre autres. La directive 95/46 s'inspire à cette Convention. Il y a une collaboration étroite entre Conseil de l'Europe et Union européenne. En 1997 l'UE a demandé d'adhérer à la Convention. On attend l'acceptation de la part des Etats signataires. Il y a aussi deux protocoles additionnels sur l'autorité de contrôle et le transfert des données à partis tiers. D'autres études sont en cours.

Le représentant d'Europol a dit qu'Europol a une tradition grande et consolidée d'application de la législation en matière de protection de données. Il y a de liens entre la directive 95/46 et la Convention d'Europol. Europol a établit plusieurs accords de coopération et échange de données avec les Etats tiers et des organisations internationales. Europol cherche toujours de garder un équilibre entre la lutte contre le crime et la protection des données. Europol respecte les normes de protection de données, mais il y en a certaines qui vont trop loin et qui nécessitent d'être modifiées. Europol a fait de proposition à ce sujet qui pourront être discutées par le Conseil et le Parlement, notamment sur l'extension du stockage des données par Europol pour certaines catégories de données. Il faut travailler ensemble, législateurs, autorité de contrôle et organisation de law enforcement. Concernant la cohérence de protection de données, il voit une protection similaire entre Europol, Schengen et Eurojust. Il faut faire plus pour la cohérence des autorités de contrôle de la protection des données. Il faut travailler ensemble pour une stratégie commune de protection de données dans le troisième pilier.

European Digital Rights (EDRi) se félicite avec le Parlement pour sa position et l'invite à continuer son opposition au "Aviation and Transportation Security Act". Il est concerné par le fait que l'accès direct des services de douane américains aux données des compagnies aériennes et la possibilité de les stocker rend possible le partage de ces données par d'autres agences américaines, comme la CIA, sans savoir quel est le but de l'utilisation de ces données qui ne sont pas seulement utilisés pour la lutte contre le terrorisme, mais aussi pour d'autres menaces à l'ordre public et à la sécurité publique.

Les compagnies doivent informer les passagers de l'existence de cet accord et les passagers doivent donner leur accord, mais il n'y a pas de choix : ou on ne va pas aux Etats-Unis ou il faut se soumettre à cette législation. Un accord comme celui entre la Commission et les Etats-Unis est un très mauvais effet sur la confiance des citoyens européens vis-à-vis de l'UE. Avec un accord pareil qui ne respect pas le processus démocratique normal, la Commission mine la confiance des citoyens, il ne s'agit pas d'un sujet abstrait, mais d'un problème réel qui concerne nous tous.

M. BUNYAN de Statewatch a rappelé que depuis toujours il y a un problème de concilier protection des données avec exigences de sécurité, mais cela est beaucoup plus difficile depuis le 11 septembre. Il s'inquiète du projet d'accord entre UE et Etats-Unis sur l'échange des données. Chaque échange de données doit respecter les Droits de l'Homme, la Charte des droits fondamentaux et le droit communautaire, on ne donne pas une interprétation à la carte de ces droits. Dans le projet d'accord UE-Etats-Unis sur l'extradition et sur l'assistance mutuelle, l'aspect respect des données n'est pas suffisamment traité. Le Conseil et la Commission doivent bien évaluer avant d'utiliser l'article 24 qui autorise la conclusion des accords, sans consulter le Parlement européen ; les Parlements nationaux sont également exclus et il n'y a pas de contrôle démocratique suffisant.

M. Cédric LAURANT d'EPIC (Electronic Privacy Information Center, Washington) a fait une présentation très complète de l'application de l'Aviation and Transportation Security Act aux Etats-Unis et des effets sur les citoyens européens.

Le système de "data mining" provoque une série d'attentes aux droits à la privacy des citoyens américains et non-américains. Il s'agit d'un renversement de la présomption d'innocence : normalement le stockage de ces données devrait être fait au cas par cas et d'un très courte durée. Ici les données concernent tout le monde et peuvent être stockées jusqu'à 50 ans. En plus il est possible que ces données soient partagées par des agences gouvernementales, mais aussi par les privés qui, par exemple, gèrent les bases des données et utilisées pour d'autres buts. Il n'y a pas de possibilité de recours en justice, on ne sait pas comment les données sont utilisés, il n'y a pas de compte rendu sur l'utilisation successive des données. il s'agit d'une violation de la loi américaine sur la privacy et aussi une violation constitutionnelle, du droit à voyager et du droit à l'association. Cette manque d'accountability et de transparence est en violation de la loi américaine même.

Plusieurs organisations aux Etats-Unis se sont opposés à ces normes et un sondage a montré que le 82 % des américains sont contre. Il y a eu aussi lieu un boycott de Delta Airlines. Le Congrès américain a donc bloqué l'application de ces normes aux citoyens américains, mais pas aux citoyens européens qui n'ont aucune tutelle juridique. Les citoyens américains ont la possibilité de présenter des recours, les non-américains ne l'ont pas.

Les données sont stockées dans une base de données centrale qui peut transférer les données aux entreprises privées, aux forces de police, sans aucune contrôle.

Les questions à se poser sont les suivantes :

1) Est-ce que les programmes sont vraiment efficaces, proportionnés et adéquats?
2) Avec qui partage-on ces données, pour combien de temps, quel est le rôle des agences privées? Est-ce qu'il y a le "data sharing"?
3) Quels sont les voies de recours des citoyens européens?
4) Comment garantir la transparence de ces programmes et comment rendre toutes ces données accessibles aux citoyens?

M. YÜKSEL de l'AEA (Association of European Airlines) a dit que depuis toujours les autorités demandent des données pour permettre aux avions d'entrer dans le territoire d'un état. Depuis le 11 septembre les Etats-Unis demandent des données qui se trouvent dans des systèmes différents et qui concernent la réservation, le PNR (passenger name record) qui contient aussi toute sorte d'information médicale, relatives aux habitudes alimentaires. Cela est en conflit avec la directive 95/46. Les compagnies ont demandé en aide la Commission européenne pour résoudre ce problème. AEA apprécie l'aide de la Commission. AEA comprend les inquiétudes du PE et demande une solution claire aux institutions européennes.

M. FOSTER de British Airways a effectué une présentation très claire sur les demandes des autorités américaines et sur les implications de cela.
Les autorités américaines demandent :

1) L'accès on-line aux systèmes de réservation et de check-in des compagnies aériennes, s'agissant du
-PNR (passenger name record) qui contient des informations sur le nom, l'itinéraire, le paiement, des données médicales et alimentaires. Cela est disponible aux autorités de douane au moment de la réservation
- DCS (Departure control system) qui est disponible 24 heures avant le départ, avec la liste des passagers et des informations concernant le vol.

2) L'accès à l'API (Advanced Passenger Information) qui est le "bulk manifest" (registre de bord) et qui est envoyé 15 minutes après le départ vers les Etats-Unis et 15 minutes avant le départ vers l'Europe.

L'Australie et le Canada effectuent les mêmes demandes.

Tout cela peut être obtenu directement on line ou à l'arrivée, avec des longues files d'attente pour les passagers. Les compagnies se sont trouvées dans une situation impossible à résoudre, donc, après la déclaration conjointe de la Commission et des Autorités de douane américaines ont accordés l'accès on line.

La solution n'est pas satisfaisante parce qu'elle manque de sécurité juridique.
Une solution possible serait de créer des filtres pour enlever les donnés sensibles et aussi tous les données qui ne concernent pas les vols aux Etats-Unis, parce qu'à présent les Autorités américaines ont accès à toutes les données, même celles des personnes qui ne voyagent pas aux Etats-Unis. Il faut que ce filtre soit payé par les Autorités qui demandent les données, et ne pas par les compagnies aériennes. Un autre problème concerne le filtrage lui-même : le système de check-in ne le prévoit pas et il est impossible de l'installer, en plus c'est très cher et difficile, certaines compagnies n'ont pas l'argent pour le faire.

Il est très difficile d'imaginer le consentement du passager. Les compagnies doivent au moins informer le passager. Cela est déjà fait chez British Airways sur le site internet, et bientôt aussi pendant la réservation téléphonique. Toutes les compagnies doivent le faire pour éviter de créer des situations de concurrence déloyale. British Airways avait même été sanctionnée par ses voyagers parce qu'elle s'était montré sincère en ce qui concerne l'information des passagers en ce sujet!!

L'AEA soutient la Commission dans son effort, mais les solutions à trouver devront être :
- pratiques,
- étendues à toutes les compagnies,
- avec une base juridique claire.

M. SCHÄTZLEIN de Lufthansa a dit que Lufthansa regrette le fait d'avoir subi une imposition de la part des autorités américaines. Lufthansa a négocié la possibilité d'ajouter un délai à l'application des normes américaines et a accepté le transfert de données après la conclusion de l'accord intermédiaire entre Commission et Etats-Unis. Depuis le 5 mars dernier les données sont automatiquement transférées. Les compagnies ont été obligées d'agir dans l'illégalité et la situation doit être résolue le plus tôt possible.

La Commission européenne (DG TRAN) : les citoyens qui vont aux Etats-Unis sont obligés à faire des files d'attentes, parfois jusqu'à trois heures de retard. Pour l'éviter, il a été élaboré le système d'information préventive. Ce système a été un grand succès. La Commission est satisfaite que, après l'entrée en vigueur de l'accord Commission/Etats-Unis le 5 mars, les files d'attente pour les passagers soient beaucoup plus courtes.

La Commission est concernée par le problème de protection des données, voilà pourquoi au mois de décembre 2002 elle a pris contact avec les Autorités américaines et a réussi a retarder l'entrée en vigueur des normes américaines. Les Autorités américaines ont été très clairs : sans accès au PNR les Autorités auraient demandé directement aux passagers, avec une perte de compétitivité pour les compagnies européennes, accompagné des sanctions (jusqu'à 5000 dollars par passager). La Commission a l'intention de lancer une initiative de consultation des Etats membres pour discuter de ce problème et trouver une solution.

Prof. Stefano RODOTÀ (Président du Groupe article 29 Dir. 95/46) a tenu a souligner la gravité de la situation actuelle. La Commission a souligné que la pression des Autorités américaines porte à ne pas considérer relevant le fait que la protection des données soit en Europe un droit fondamental. Les Autorités nationales de protection des données ont adopté un avis le 24 octobre passé (l'avis numéro 6). Cet avis n'a pas été suivi dans ses points essentiels, notamment dans le point 4 où on dit "D'autres transmissions de données des systèmes de réservation et de contrôle des départs concernant les passagers et les membres d'équipage ne pourraient être envisagées que dans le cadre d'une législation des États membres". Si on compare cela au point 4 du "Joint statement" de la Commission on dit que la Commission considère que les Autorités nationales peuvent ne pas trouver nécessaire sanctionner les compagnies aériennes qui se conforment aux demandes des Etats-Unis. M. RODOTÀ comprend bien les difficultés des compagnies, mais il exprime aussi les difficultés et les risques de graves conflits auxquels les Autorités nationales sont confrontés. Aux Autorités nationales on demande donc de ne pas appliquer les lois internes. N'importe quel citoyen peut demander aux juges d'intervenir en sanctionnant les compagnies aériennes.

Le Joint statement de la Commission essaye de résoudre un conflit, mais il risque d'en créer un autre beaucoup plus grave. Les Autorités nationales ne peuvent pas s'abstenir de la tâche juridique d'appliquer les normes existantes, autrement les autorités accomplissent un crime d'omission. La Commission doit être consciente de cette grave situation. Pour résoudre le problème des compagnies on a transposé le problème sur les Autorités nationales en leur demandant de tenir des comportements illégaux. Sur cela il faut être claire, il ne faut pas que dans le futur on donne la responsabilité aux autorités qui sont obligées à faire respecter les lois internes. Chacun ses responsabilités, politiques et juridiques. M. RODOTÀ exprime, à titre personnel, sa préoccupation pour le précédent qui a été créé : le fait qu'un Etat tiers puisse exercer une pression de type économique ou autre sur l'UE et obliger l'UE à modifier ses règles ou à violer les règles qui l'UE s'est donnée librement est une chose très grave. Les conclusions du Commissaire BOLKESTEIN à Strasbourg disent que les normes européennes ne sont pas extra-territoriales, maintenant ce sont les lois américaines à être extra-terrritoriales en Europe!

Maintenant il faut trouver un "proper legal base", comme l'a dit le Commissaire BOLKESTEIN, en rappelant que :
- la protection des données est un droit fondamental qui ne peut pas être violé dans son contenu essentiel, d'après l'article 52 de la Charte ;
- les droits individuels: d'accès aux bases de données, qui est contenu dans la directive et dans l'article 8 de la Charte.

La négociation entre Commission et Etats-Unis a été jusqu'à présent une tentative d'obtenir des "unilateral undertakings", des engagements unilatéraux, qui nous ne sommes pas en mesure de faire respecter et de contrôler, si non d'une façon purement politique. Mais le système de l'UE exige qu'il y ait une possibilité de contrôle et de sanction juridiquement relevant. Un accord important, négocié avec difficulté, le "Safe harbour", qui avait rencontré certains réserves au sein du PE, respectait ces principes : il y avait une possibilité pour les citoyens d'intervenir, prévoyait une autorité de contrôle publique ou privée, (BBB on line), en prévoyant un panel des autorités nationales auquel le citoyen peut se référer. Il faut négocier avec les Etats-Unis des standards minimum. Cela n'a pas été le cas. Il faut trouver des solutions temporaires et définitives pour l'avenir.

Pour le moment il faut limiter les demandes des Américains pour éviter de demander aux autorités nationales de ne pas respecter les lois. Par après il faut tenir compte du fait que dans les négociations la Commission ne peut pas violer les normes du système communautaire. Sur la longue période le Groupe de l'article 29 demande une décision multilatérale globale qui pourrait rentrer dans l'accord open skies qui est en discussion maintenant. La procédure plus correcte est la consultation, à ce propos, du Groupe de l'article 29, du groupe de l'article 31 et le Parlement européen. Les autorités nationales doivent garantir un droit fondamental des citoyens qui n'est pas négociable. Les autorités nationales ne peuvent pas être accusées d'avoir fermé les yeux devant un comportement illégal. Cela est une situation très grave qui, dans une enceinte parlementaire doit être porté à la connaissance de tout le monde.

M. DAMMANN de l'Autorité de la protection des données allemande a confirmé la présentation du représentant de Lufthansa. Il a dit que les autorités compétentes en la matière sont celles des Bundesländer. Les autorités allemandes travaillent sur le type d'information qui peut être transféré et comment les informations sont transférées. Il faut isoler les données sensibles. Les autorités sont en contact avec les Américains pour avoir plus d'informations à ce propos. Ils travaillent aussi sur le principe d'égalité de traitement entre compagnies aérienne. La situation actuelle ne respecte pas la loi allemande. Pour le moment les informations circulent sans l'autorisation des passager, même les informations qui ne concernent pas les passagers qui vont aux Etats-Unis. Cette situation est un test du fonctionnement du système de protection des données en Europe. Il faut trouver une solution pour satisfaire les deux parties. On peut faire du progrès aussi sur le plan technique.

M. PIÑAS MAÑAS de l'Autorité de la protection des données espagnole a affirmé que la protection des données est un droit très sensible qu'il faut protéger, est un droit fondamentale. Il faut une base légale et une procédure adéquate. Le 11 septembre a signé peut-être la naissance du 21 siècle dans lequel on trouve aussi de nouveaux droits, parmi lesquels la protection des données.

L'autorité espagnole a eu plusieurs contacts avec les compagnies aériennes espagnoles, qui sont très concernés par la situation. Les autorités doivent respecter la loi. Il faut prévoir toutes les garanties et les procédures de recours. Les autorités de contrôle ne peuvent pas être victimes des événements. Les autorités doivent écrire des rapports publics sur leur comportement vis-à-vis la protection des données, elles doivent respecter la loi.