Le Parlement européen,

—  vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(1), et en particulier son article 25, ainsi que le règlement (CEE) n° 2299/89 du Conseil du 24 juillet 1989 instaurant un code de conduite pour l'utilisation de systèmes informatisés de réservation(2),

—  vu le projet de décision de la Commission constatant le niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens (PNR) transférés au Bureau des douanes et de la protection des frontières des États-Unis (C5-0124/2004),

—  vu les avis rendus le 29 janvier 2004 par le groupe de protection des personnes à l'égard du traitement des données à caractère personnel visé à l'article 29 de la directive 95/46/CE et le 17 février 2004 par le comité visé à l'article 31 de ladite directive,

—  vu sa résolution du 9 mars 2004 sur la mise en œuvre de la directive 95/46/CE(3),

—  vu la position exprimée par les parlements nationaux sur ce sujet,

—  vu l'avis de la commission belge de la protection de la vie privée sur deux cas relatifs au transfert par trois compagnies aériennes des données personnelles de certains passagers transatlantiques - dont un député au Parlement européen - selon lequel le droit national et le droit européen en matière de vie privée ont été violés; vu la constatation du Conseil selon laquelle les mesures prises par les États-Unis peuvent entrer en conflit avec la législation communautaire et la législation des États membres en matière de protection des données (2562e session du Conseil "Affaires générales" tenue à Bruxelles le 23 février 2004); vu le document interne de la Commission confirmant l'authenticité de ce conflit; vu la dénonciation par le Parlement européen de la violation flagrante de la législation relative à la vie privée et les graves responsabilités qu'il impute à la Commission, aux États membres et à certaines autorités garantes de la vie privée,

—  vu l'article 8 de la décision 1999/468/CE du Conseil du 28 juin 1999 fixant les modalités de l'exercice des compétences d'exécution conférées à la Commission(4),

—  vu l'article 88 de son règlement,

A.  rappelant que l'administration américaine, en application du Transport Security Act et de ses dispositions d'exécution telles que l'Aviation Security Screening Records(5) a imposé aux compagnies aériennes opérant en Europe de donner accès aux données commerciales reprises dans le Passenger Name Record (PNR), afin d'établir au préalable le danger potentiel que pourrait présenter chaque passager, d'identifier et d'arrêter ou d'interdire d'entrée aux États-Unis tout terroriste ou responsable de crime grave,

B.  constatant que cet accès requiert un cadre juridique clair s'il doit être permis aux termes du droit national et du droit européen sur la vie privée et que, malgré cela, ni la Commission, ni les États membres, ni les autorités garantes de la vie privée dotées de pouvoirs contraignants n'ont agi pour assurer l'application de la loi,

C.  rappelant que, dans le cadre des transports aériens, le dossier passager (Passenger Name Record - PNR) est un fichier contenant un ensemble de renseignements commerciaux qui concernent notamment:

D.  considérant qu'à ce jour, les données du PNR varient selon les pratiques commerciales suivies par chaque compagnie aérienne et sont traitées par le biais de centres de réservation et que, par conséquent, des programmes d'extraction appropriés seraient à établir par les compagnies aériennes pour extraire les données qui pourraient légitimement être transférées,

Quant aux principes de la protection des données du côté européen

E.  considérant que l'article 8, paragraphe 2, de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, tel qu'interprété par la Cour européenne des droits de l'homme(6), admet une ingérence dans la vie privée seulement ".... lorsqu'elle est prévue par la loi(7), qu'elle est nécessaire(8) dans une société démocratique(9) à la poursuite de buts légitimes et qu'elle n'est pas disproportionnée(10) et eu égard à l'objectif poursuivi",

F.  conscient qu'à ce stade, il n'y a pas de base juridique dans l'Union européenne pour utiliser à des fins de sécurité publique les données commerciales du PNR et qu'une telle base juridique est indispensable pour modifier le but dans lequel les données ont été collectées à l'origine et permettre leur utilisation à des fins de sécurité publique,

G.  rappelant qu'une telle base juridique doit définir les données exactes à collecter, les règles à suivre pour leur traitement et les responsabilités de chaque partie prenante (passagers, compagnies aériennes et pouvoirs publics),

H.  soulignant que le Conseil a récemment approuvé le mandat de négociation d'un accord international conféré à la Commission dans ce dossier,

Et du côté des États-Unis

I.  rappelant, d'autre part, qu'aux États-Unis, la protection de la vie privée, tout en étant évoquée par le Quatrième amendement à la Constitution, n'est pas considérée comme un droit fondamental:

Quant à l'impact légal d'une décision d'adéquation conformément à l'article 25 de la directive 95/46/CE

J.  conscient du fait que le projet de décision présenté par la Commission:

K.  regrettant que la Commission, tout au long de l'année 2003, n'ait pas tenu compte des requêtes réitérées du Parlement européen et des autorités de contrôle des données l'invitant:

L.  faisant siennes la plupart des réserves formulées, à l'unanimité, par les autorités du contrôle des données réunies au sein du groupe visé à l'article 29 de la directive 95/46/CE, notamment le 29 janvier 2004(12),

1.  déclare qu'il considère que la décision de la Commission du ... constatant le niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens (PNR) transférés au Bureau des douanes et de la protection des frontières des États-Unis excède les compétences d'exécution conférées à la Commission, puisque:

Quant à la base juridique et à la forme

1.1.  le projet de décision n'est pas (et ne pourrait être):

Quant au contenu

1.2.  le projet de décision s'appuie d'ailleurs sur des "undertakings" dont le caractère contraignant est loin d'être évident:

1.3.  le système "PULL" d'accès aux données PNR réduit toutes les limites pouvant être convenues et doit être remplacé par un système "PUSH" doté des filtres appropriés;

2.  considère que l'importance de l'enjeu est telle que l'Union européenne doit le régler avec les États-Unis sur la base d'un véritable accord international qui, dans le plein respect des droits fondamentaux, définisse:

3.  se déclare prêt à se pencher, dans le cadre d'une procédure d'urgence, sur un accord international conforme aux principes mentionnés ci-dessus; estime que si un tel accord devait être adopté, la Commission pourrait légitimement déclarer que les données seraient adéquatement protégées aux États-Unis;

4.  invite la Commission à lui présenter une nouvelle décision de constat d'adéquation et à demander au Conseil un mandat pour un nouvel accord international fort, conforme aux principes exposés dans la présente résolution;

5.  dans l'attente d'une solution législative définitive ou de la conclusion d'un ou plusieurs accords internationaux, invite:

6.  invite la Commission à bloquer:

7.  entre-temps, se réserve le droit de saisir la Cour de justice si la Commission adoptait le projet de décision; rappelle à la Commission l'obligation de coopération loyale entre institutions prévue à l'article 10 du traité, et l'invite à ne pas adopter, pendant la période des élections, une décision de la teneur de celle examinée par la présente résolution;

8.  se réserve de saisir la Cour de justice pour lui demander de vérifier la légalité de l'accord international prévu et, en particulier, sa compatibilité avec la protection d'un droit fondamental;

9.  estime qu'il est de la plus haute importance que les résultats des négociations ne constituent pas un modèle pour les futurs travaux de l'Union européenne visant à développer ses propres mesures de lutte contre la criminalité, de stockage de données et de protection de la vie privée;

10.  invite la Commission à retirer le projet de décision,

o
o   o

11.  charge son Président de transmettre la présente résolution au Conseil et à la Commission, aux parlements et aux gouvernements des États membres ainsi qu'au Congrès des États-Unis.

(1) JO L 281 du 23.11.1995, p. 31. Directive modifiée par le règlement (CE) n° 1882/2003 (JO L 284 du 31.10.2003, p. 1). (2) JO L 220 du 29.7.1989, p. 1. Règlement modifié en dernier lieu par le règlement (CE) no 323/1999 (JO L 40 du 13.2.1999, p. 1). (3) P5_TA(2004)0141. (4) JO L 184 du 17.7.1999, p. 23. (5) FEDERAL REGISTER 68 FR 2101. TSA intends to use this system of records to facilitate TSA's passenger and aviation security screening program under the Aviation and Transportation Security Act. TSA intends to use the CAPPS II system to conduct risk assessments to ensure passenger and aviation security. (6) Cour eur. D. H., arrêts Amann c. Suisse du 16 février 2000, Recueil des arrêts et décisions 2000-II, § 65, et Rotaru c. Roumanie du 4 mai 2000, Recueil des arrêts et décisions 2000-V, § 43. (7) Le recours à une "loi" est d'autant plus justifié lorsque il est question de la protection d'un droit fondamental, celle-ci ne pouvant pas pas être laissée à des mesures de type administratif ou à de simples mesures d'éxécution. Une "loi" doit, d'ailleurs, d'une part, être libellée avec suffisamment de précision pour permettre aux destinataires de ses dispositions de régler leur conduite et, d'autre part, répondre à l'exigence de prévisibilité résultant de la jurisprudence de la Cour européenne des droits de l'homme (voir, notamment, Cour eur. D. H., arrêt Rekvényi c. Hongrie du 20 mai 1999, Recueil des arrêts et décisions 1999-III, § 34). Dans le cas d'espèce, elle doit aussi comporter des dispositions "…explicites et détaillées sur les personnes autorisées à consulter les dossiers, la nature de ces derniers, la procédure à suivre et l'usage qui peut être donné aux informations ainsi obtenues" ( voir Cour. eur D H arrêt Rotaru c. Roumanie, 4 mai 2000). (8) La notion de "necessité" implique qu''un besoin social impérieux" soit en cause et que la mesure prise soit "proportionnée au but légitime recherché" (voir, notamment, Cour eur. D. H., arrêt Gillow c. Royaume-Uni du 24 novembre 1986, Série A n° 109, § 55) et que, dans cette perspective, le législateur jouit d'une marge d'appréciation "dont l'ampleur dépend non seulement de la finalité, mais encore du caractère propre de l'ingérence" (voir Cour eur. D. H., arrêt Leander c. Suède du 26 mars 1987, Série A n° 116, § 59). (9) Le critère de la societé "démocratique" vise les relations entre pouvoirs publics et citoyens et doit être considéré comme plus présent là où ce sont les citoyens qui contrôlent les institutions que dans le cas inverse. Bien évidemment, quelle que soit la nature des ces relations, dans toute démocratie il est essentiel d'évaluer avec beaucoup de précaution toute forme de collecte et de stockage systématique des données notamment dans les cas où ces données concernent des personnes qui ne présentent pas un danger pour la collectivité. (10) Le critère de proportionnalité concerne tous les paramètres du traitement des données (par exemple : à quel moment les données sont transférées, quelles données sont transférées, à qui, pour quoi faire, durée de conservation, durée de la dérogation). Dans le cadre du droit européen, ces évaluations doivent aussi être faites en ayant à l'esprit les exigences de la subsidiarité qui régissent les relations entre les Etats membres et l'Union européenne. Cela est d'autant plus nécessaire au cas où, par un acte d'une institution, les Etats membres seraient privés de la possibilité d'intervenir. (11) "Les données devraient inclure les informations suivantes: "PNR record locator code", date de réservation, date(s) prévue(s) du voyage, nom du passager, autres noms présents dans le PNR, l'itinéraire de voyage, identifiants de billets gratuits, billets aller simple, "ticketing field information", données "ATFQ (Automatic Ticket Fare Quote)", numéro de billet, date à laquelle le billet a été délivré, "no show history", nombre de bagages, numéros des étiquettes de bagages, " no show information", nombre de bagages sur chaque segment, changements de classe volontaires ou involontaires, détail des changements effectués sur les données PNR et concernant les éléments mentionnés précédemment." (12) http://www.europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2004/wp87_fr.pdf (13) D'ailleurs, l'obligation imposée aux compagnies aériennes par la législation américaine ne peut elle non plus être considérée comme une "obligation légale" suffisante au sens de l'art. 7, point c), de la Directive 95/46/CE, celle-ci devant être interprétée "… à la lumière des droits fondamentaux, qui, selon une jurisprudence constante, font partie intégrante des principes généraux du droit dont la Cour de justice des Communautés européennes assure le respect (voir, notamment, arrêt du 6 mars 2001, Connolly/Commission, C-274/99 P, Rec. p. I-1611, point 37).