La Cour de justice de l’Union européenne a rendu ce mardi 21 juin 2022 un arrêt concernant la loi belge transposant la directive européenne « Passenger Name Record » (PNR) du 27 avril 2016. Cette directive permet l’enregistrement et la conservation systématique des données des passagers de vols hors et à l’intérieur de l’Union européenne, sous des conditions très strictes. Conditions que la loi belge du 25 décembre 2016 relative au traitement des données des passagers ne respecte pas selon la Cour de justice de l’Union européenne.
Cette directive PNR réglemente le transfert et la conservation des données à caractère personnel communiquées par les passagers aux transporteurs aériens. Ces données comportent différentes informations, comme le nom du passager, les dates du voyage, l’itinéraire, le numéro de siège, les coordonnées du passager, etc. En juillet 2017, la Ligue des droits humains avait introduit un recours devant la Cour constitutionnelle contre cette loi, adoptée en réaction aux attentats terroristes qui ont frappé la Belgique en mars 2016. La Cour constitutionnelle avait décidé en octobre 2019 de poser 10 questions préjudicielles à la Cour de justice de l’Union européenne, qui vient d’y répondre dans son arrêt du 21 juin 2022.
Dans celui-ci, la Cour de justice de l’Union européenne réaffirme les balises de la directive européenne PNR : « En l’absence d’une menace terroriste réelle et actuelle ou prévisible pour un État membre, le droit de l’Union s’oppose à une législation nationale prévoyant le transfert et le traitement des données PNR des vols intra-UE et des opérations de transport effectuées par d’autres moyens au sein de l’Union européenne ». La Cour considère que le respect des droits fondamentaux exige que les pouvoirs d’ingérence prévus par la directive PNR soient limités à ce qui est strictement nécessaire.
Collecte généralisée de données
Or, la loi belge, dépasse largement le cadre du droit européen, sur le champ d’application de la directive, la durée de conservation de ces données et la confrontation des données PNR à d’autres bases de données. En effet, elle ne limite pas cette récolte aux menaces terroristes réelles et actuelles et à la criminalité grave, présentant un lien avec le transport aérien des passagers. Les infractions visées relèvent en réalité de la criminalité ordinaire compte tenu des spécificités du système pénal national et va même jusqu’à prévoir un traitement “en vue de l’amélioration des contrôles de personnes aux frontières extérieures et en vue de lutter contre l’immigration illégale”. De plus, la durée de conservation générale de 5 ans, alors que la directive prévoit une période de conservation initiale de six mois, n’apparaît pas limitée au strict nécessaire en ce qui concerne les passagers aériens.
Le droit au respect de la vie privée n’est pas une variable d’ajustement
Une fois de plus, cette décision de la Cour de justice de l’Union européenne vient rappeler que les limitations aux libertés fondamentales sont de stricte interprétation, que l’objectif soit de lutter contre le terrorisme ou contre une pandémie : le droit au respect de la vie privée des individus n’est pas une variable d’ajustement avec laquelle les gouvernements peuvent jouer à leur guise.
La Cour rappelle aussi que le contrôle ne peut se baser uniquement sur des technologies d’intelligence artificielle mais que le contrôle humain doit rester prédominant.
Si cet arrêt remet en cause la loi belge du 25 décembre 2016, la balle est désormais dans le camp de la Cour constitutionnelle qui est seule compétente pour annuler totalement ou partiellement la loi belge. Dans l’attente de cette décision, la Ligue des droits humains invite le Parlement fédéral à tenir compte de l’arrêt de la Cour de Justice, dans l’examen de la loi liée à la rétention des métadonnées. Dans ces deux dossiers, la Cour de Justice de l’Union européenne a en effet jugé que la surveillance généralisée n’est pas acceptable dans un État de droit.