Le long chemin de croix du fichier passagers

A l’aéroport Roissy-Charles de Gaulle, Paris. Damien Fauchot/Flickr, CC BY

Voilà un excellent motif de satisfaction pour le premier ministre, Manuel Valls et le ministre de l’Intérieur, Bernard Cazeneuve. Le Parlement européen a adopté en Assemblée plénière, le 14 avril 2016, la directive tant controversée instaurant un transfert par les compagnies aériennes des données sur les passagers de vols intra-européens aux services nationaux de sécurité.

Des députés européens sous pression

Au risque de gâcher la fête, les apparences sont pourtant trompeuses et de nouveaux rebondissements sont à prévoir. Le PNR, l’acronyme de Passenger Name Record, un dispositif mis en place après les attentats du 11 septembre 2001 entre l’Union européenne (UE) et les États-Unis, est en effet dans le viseur de la justice européenne.

Celle-ci doit encore se prononcer sur un autre dossier, le projet d’accord PNR UE-Canada, dont l’issue est de nature à avoir des répercussions sur la directive approuvée ce 14 avril. Un retour à la case départ n’est donc pas à exclure, alors même que « l’après-PNR » se profile avec une batterie de mesures sécuritaires présentées quelques jours auparavant, le 6 avril.

La « saga PNR » dure depuis plusieurs années. Après les attentats de novembre à Paris, le Conseil avait déjà exigé l’adoption de la directive PNR, laquelle datait initialement de 2007. Après bien des tergiversations, un accord politique a été conclu entre les ministres de l’Intérieur et les députés européens en décembre 2015. Le Parlement de Strasbourg, dont l’une des missions consiste à protéger les libertés des citoyens de l’Union, avait le couteau sous la gorge, le Conseil des ministres ayant procédé aux concessions exigées par les députés en réduisant sensiblement ses exigences sécuritaires. Et les attaques de Bruxelles du 22 mars ont incité les gouvernements à vouloir en terminer une bonne fois pour toutes.

L’après-PNR a déjà commencé

L’attention médiatique se focalise sur PNR, mais il apparaît comme l’arbre qui cache la forêt et constitue déjà, d’une certaine manière, un combat d’arrière-garde. Car les ministres de l’Intérieur des 28 sont déjà passés à l’étape de « l’après-PNR ». Les auteurs des beaux discours d’une Europe « immobile » et « dépassée » en sont pour leurs frais : non seulement l’Europe de la sécurité se construit mais elle change même de braquet.

Pour bien comprendre les choses, il faut garder à l’esprit que la directive PNR s’insère dans une logique à la fois de sécurisation des frontières extérieures et de contrôle des mouvements intérieurs (ce qui correspond, au passage, à la philosophie véritable de Schengen). C’est donc un petit maillon d’une longue chaîne en train de se mettre progressivement en place.

Et le rythme s’accélère avec les attentats à répétition. Sans attendre l’adoption du PNR, la Commission européenne, sur demande insistante des ministres de l’Intérieur, a en effet présenté le 6 avril dernier, un nouveau train de mesures.

Les trois piliers du dispositif sécuritaire

Premier élément de l’architecture du dispositif sécuritaire, le « système d’entrée/sortie », destiné à comptabiliser le nombre de passages aux frontières extérieures européennes, avait été présenté en février 2013. Directement inspiré du système américain US-VISIT, ce projet d’un coût chiffré à 1,1 milliard d’euros avait été jugé trop cher par les ministres en ces temps de disette budgétaire. La Commission a été amenée à revoir sa copie pour abaisser la facture à 480 millions d’euros.

Deuxième élément de l’architecture : l’amélioration du fonctionnement des bases de données européennes et nationales. Le même constat est partagé par les États, la Commission et par le coordinateur européen pour la lutte antiterroriste, Gilles de Kerchove : le manque d’interopérabilité des bases existantes, de même que l’absence d’accès des services police à celles-ci, sont un sérieux frein à la lutte antiterroriste. D’où le lancement d’un processus visant à combler ces lacunes.

Gilles de Kerchove, le coordinateur de l’UE pour la lutte antiterroriste. Security & Defence Agenda/Flickr, CC BY

Troisième élément : la définition d’une approche globale face aux menaces dites « hybrides » (menaces militaires conventionnelles et non conventionnelles). Si le projet présenté par la Haute représentante européenne pour les Affaires étrangères, Federica Mogherini, porte davantage sur l’imbrication de ces menaces, les solutions proposées sont en lien direct avec le renforcement du dispositif européen antiterroriste : certaines des 22 mesures préconisées sont dirigées vers les groupes vulnérables (notamment ceux sensibles à des discours subversifs) et les infrastructures sensibles. La crainte dominante actuellement est celle d’une cyberattaque terroriste contre une centrale nucléaire.

Dans un tel contexte, il était urgent que le dossier PNR soit bouclé. Aux yeux des États membres, le train de la sécurité européenne a pris trop de retard et il ne peut plus attendre.

Kant versus Hobbes

Il faut garder à l’esprit que le débat liberté-sécurité au niveau européen est identique à celui qui a cours en France sur l’état d’urgence. Les enjeux y sont, d’une certaine manière, les mêmes : faut-il sacrifier les libertés face au terrorisme et, dans l’affirmative, quelle concession peut-on faire sans renoncer aux valeurs que l’on prétend défendre ?

La directive PNR pose, à l’image des tensions politiques générées par l’inclusion de l’état d’urgence dans la Constitution, des questions de nature philosophique sur le degré de restriction des libertés dans un monde qui est toujours plus dangereux. Il est évident, pour l’heure, que le curseur tend à se déplacer du pôle « liberté » vers le pôle « sécurité », celle-ci étant présentée comme la première des libertés. Le positionnement exact est un véritable choix de société qui voit s’affronter deux visions du monde, celle de Kant et celle de Hobbes.

La question de fond est, à l’ère post-Snowden, celle de la détermination du niveau de protection de la vie privée. Ce débat autour de la directive PNR rappelle – d’une certaine manière – le clivage entre les « idéalistes » et les « réalistes ». Les premiers sont les héritiers de la doctrine du Président américain Woodrow Wilson, fondée sur le projet kantien d’une société internationale pacifiée, régie par le droit. Pour les seconds, qui se placent dans la droite ligne du philosophe Thomas Hobbes, l’homme est un loup pour l’homme et l’idée d’une société internationale définitivement apaisée est chimérique. De fait, les attentats alimentent plutôt celle un monde dangereux, les États luttant pour leur survie dans un contexte où les terroristes cherchent à les anéantir.

Une victoire à la Pyrrhus ?

En échange de l’accord sur la directive PNR, la gauche au Parlement européen a obtenu l’adoption d’un paquet législatif sur la « protection des données », en l’occurrence un texte modernisant la directive actuelle régissant la protection des données en général (notamment en matière commerciale) et un autre spécifique aux questions « police-justice ».

Mais cette saga sécuritaire n’est pas achevée car la justice européenne pourrait bien jouer les trouble-fête.

Les juges européens se veulent en effet à la pointe du combat mené contre une surveillance généralisée. Les standards de l’Union en matière de vie privée sont particulièrement stricts à ce propos. En témoigne l’arrêt rendu sur une affaire célèbre bien connue des juristes de droit européen, l’arrêt Digital Rights rendu en 2014, par lequel la justice européenne a invalidé l’obligation imposée aux opérateurs télécom de conserver plusieurs mois des données à des fins sécuritaires (enquêtes criminelles, prévention du terrorisme, etc.).

Les juges de Luxembourg, comme leurs homologues de Strasbourg d’ailleurs, se montrent particulièrement préoccupés par les risques de surveillance de masse. Dans l’arrêt Schrems d’octobre 2015, du nom de l’Autrichien qui avait décidé de poursuivre Facebook, ils ont enfoncé le clou en invalidant l’accord transatlantique en matière d’échange de données à caractère personnel. Le motif ? Un niveau de protection de données insuffisant.

Au regard d’une jurisprudence sourcilleuse sur la défense de la vie privée, il existe de fait une incertitude sur la conformité de la directive PNR. En cause, la proportionnalité des atteintes au regard des objectifs sécuritaires poursuivis. Or, comme nous l’avons souligné, la Cour de justice a déjà dans son viseur un projet d’accord PNR UE-Canada, vis-à-vis duquel la CNIL européenne s’est montrée très réservée. Son avocat général doit se prononcer le 13 juin prochain sur ce projet d’accord qui date de 2013, son avis laissant souvent présager la position des juges du plateau luxembourgeois du Kirchberg. La décision qui sera rendue est importante : elle aura des répercussions sur la légalité de la directive PNR.

Des supercalculateurs d’IBM au laboratoire d’Argonne aux États-Unis (Illinois). Argonne National Laboratory/Flickr, CC BY-SA

À supposer que cet obstacle soit franchi, un autre peut encore se dresser sur le chemin de cette directive : rien n’empêche, en effet, qu’un recours exercé contre elle ne débouche sur une invalidation du texte par un juge européen particulièrement attentif au respect de la vie privée. C’est précisément ce qui s’était passé dans l’arrêt Digital Rights. Tout serait alors à refaire.

Pour connaître l’épilogue définitif de la « saga PNR », il faudra attendre la réponse donnée par la justice européenne à l’occasion d’une question posée par une juridiction nationale. À condition que cette question soit posée, mais on peut facilement imaginer que des avocats sont déjà à l’affût.

Des questions laissées en suspens…

Le satisfecit politique suite à l’adoption de la directive par le Parlement européen masque mal une série d’interrogations laissées en suspens. Certaines d’entre elles devront être tranchées par la justice européenne, à savoir celles ayant trait au respect, dans la directive, du principe dit de « nécessité » : le PNR va-t-il vraiment contribuer à élever le niveau général de sécurité ? De même que le principe de « proportionnalité » pose question : l’atteinte aux libertés inhérente au PNR n’est-elle pas exagérée au regard du degré de sécurité censé être apporté ?

D’autres questions demeurent. Collecter les données sur les passagers c’est bien, mais les analyser c’est mieux. Et pourtant, les outils d’analyse ne sont pas toujours au point, ils manquent ou sont mal utilisés. Ce qui rend la surveillance de masse inefficace, comme le faisait récemment remarquer un expert.

Quid, par ailleurs, de la sous-traitance de la sécurité à des entreprises privées en matière de contrôle des données collectées ? D’après Mireille Delmas-Marty, « le paradoxe est que les mesures de surveillance deviennent de moins en moins contrôlables à mesure que leur sphère s’étend ». Comme si, ajoute-t-elle, « l’État de surveillance devait laisser la place à une seconde dérive, celle d’une surveillance sans État ». Or, l’affirmation de ce professeur membre de l’Institut de France est applicable à la directive PNR, du fait même qu’elle implique des acteurs non étatiques, les compagnies aériennes, dans une sécurité de plus en plus globalisée.

Help combat alt-facts and fake news and donate to independent journalism. Tax deductible.