En ce momentDiables RougesCoupe du monde 2022CTR AwardsPermis de conduire Accueil

Données passagers: la CJUE recale plusieurs éléments de la loi belge

La Cour de Justice de l’Union européenne a répondu mardi à la Cour constitutionnelle belge au sujet du transfert, de la conservation et de l’utilisation des données des dossiers passagers tels que prévus par la loi belge.

La CJUE y voit à redire, ressort-il de son arrêt. Selon l’éclairage de la Cour, la Belgique a été plus loin que strictement nécessaire en appliquant dans les faits le système du registre PNR (données des dossiers passagers) à quasi tous les transports intra-UE vers et depuis le territoire belge, en prévoyant une durée de conservation générale des données de cinq ans et en élargissant l’utilisation de ces données à des fins de lutte contre l’immigration illégale, par exemple.

La Ligue des droits humains s’était tournée vers la Cour constitutionnelle belge en 2017 pour contester une nouvelle loi organisant la collecte et le traitement des données des dossiers passagers (PNR). Ces données sont toutes celles qui entourent le vol en avion d’un voyageur (identité du voyageur, date de voyage, itinéraire, moyen de paiement, coordonnées de contact, bagage, etc.). Elles sont habituellement collectées par la compagnie aérienne ou l’agence de voyage, et une directive européenne de 2016 organise leur transfert aux États et leur utilisation pour prévenir, détecter ou poursuivre de potentiels actes terroristes ou toute forme de criminalité grave.

La Belgique a très rapidement transposé en droit belge ce texte européen, dès la fin 2016, dans la foulée des attentats de Bruxelles et Zaventem. La loi du 25 décembre 2016 crée entre autres une banque de données des passagers gérée, au sein du SPF Intérieur, par une « Unité d’information des passagers » (UIP).

Selon la Ligue des droits humains, il y a cependant eu excès de zèle dans le chef de l’État belge. Ainsi, le système prévu par la directive européenne PNR, censé rassembler les données passagers des vols internationaux reliant l’UE à un État extérieur, est ici appliqué également aux vols intra-UE et aux transports ferroviaires, terrestres (par bus), voire maritimes depuis, via et vers la Belgique. Les transporteurs et/ou opérateurs de voyage sont tenus de transmettre toute une série de données aux autorités, pour « évaluation préalable » (croisement automatique avec d’autres banques de données, avant le voyage) ou exécution de certains contrôles aux frontières. Les données enregistrées peuvent être conservées jusqu’à cinq ans, avec « dépersonnalisation » après six mois (certaines données sont masquées pour que la personne ne soit pas directement identifiable).

La Cour constitutionnelle, saisie par la Ligue des droits humains, s’est elle-même tournée vers la Cour de Justice de l’UE pour lui poser dix questions préjudicielles.

La CJUE y a répondu mardi, invalidant clairement plusieurs éléments de la législation belge. La Cour rappelle que la directive PNR permet en effet des ingérences dans certains droits fondamentaux, ceux au respect de la vie privée et à la protection des données personnelles. Mais elle insiste sur le fait que ces ingérences doivent être limitées au strict nécessaire et sans cesse soupesées au regard de l’objectif poursuivi, qui est uniquement la lutte contre les infractions terroristes et les formes graves de criminalité.

L’application du système établi par la directive PNR « doit être limitée aux infractions terroristes et aux seules formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers », communique la Cour en parallèle de son arrêt. D’autres formes de criminalité « ordinaire » ne devraient pas être couvertes.

La directive s’oppose « à une législation nationale qui prévoit une durée générale de conservation des données PNR de cinq ans, applicable indifféremment à tous les passagers aériens », peut-on lire dans les conclusions de la Cour. Le droit de l’Union s’oppose aussi à un transfert systématique des données PNR pour les vols et autres voyages intra-UE, si ce n’est pas justifié par l’existence d’une menace terroriste. S’il y a menace, le système peut être appliqué sur certaines liaisons ou lieux de départ ou d’arrivée pertinents, mais pas de manière globale, précise la Cour.

Finalement, prévoir un tel système de transfert et de traitement des données PNR « aux fins de l’amélioration des contrôles aux frontières et de la lutte contre l’immigration clandestine » est également contraire au droit de l’Union, ajoute-t-elle.

Il revient désormais à la Cour constitutionnelle de statuer sur la loi de 2016, en s’appuyant sur l’interprétation apportée par la CJUE.

Abonnement La Meuse, La Nouvelle Gazette, La Province, Nord Eclair et La Capitale