parlement européen

DONNEES PERSONNELLES : nouveau coup de semonce de la Cour de Luxembourg

La Cour de Justice de l'Union européenne a rendu le 26 juillet dernier son avis au sujet de l'accord PNR UE / Canada suite à la demande émise par le Parlement européen le 30 janvier 2015 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=964955). Dans son avis, la Cour a estimé que cet accord était incompatible avec la Charte des droits fondamentaux. Elle a marqué une nouvelle étape dans sa construction jurisprudentielle du droit à la protection des données personnelles en Europe.

Contenu de l'avis PNR UE/Canada

De quoi s'agit-il? Comme avec les Etats-Unis ou l'Australie, l'Union européenne a négocié cet accord avec le Canada afin de pouvoir transférer les données des passagers aériens (données PNR) à des fins de lutte contre le terrorisme et d'autres formes de criminalité transnationale. Ces données énumérées dans l'accord peuvent dès lors être conservées, utilisées voire transférées vers des pays tiers par les autorités canadiennes. Du fait de la sensibilité de tels transferts, ces négociations ont été marquées par des passes d'armes entre Conseil et Parlement européen. La saisine de la Cour pour avis, avant conclusion de l'accord, avait pour objet de vérifier la base juridique de l'accord et sa compatibilité avec la Charte et les traités européens.

Appréciation de la CJUE sur l'accord PNR

Analyse de la CJUE. La Cour a d'abord rappelé que cet accord devait être apprécié dans sa double composante, sécurité publique et protection des données passagers, sanctionnant l'absence de base juridique dédiée (en l'espèce l'article 16§2 TFUE). Si la Cour n'a pas remis en cause le principe du transfert de ces données au vu de l'objectif de protection de la sécurité et de la sûreté publique, elle a néanmoins souligné les incompatibilités entre certains points de l'accord et la charte des droits fondamentaux.

Parmi ses réserves figurent notamment la délimitation des données PNR à transférer, le transfert de données sensibles, l'absence de limitation au strict nécessaire des données PNR comme les conditions de leur communication à des autorités publiques canadiennes ou encore l'absence de surveillance du respect des règles de l'accord par une autorité indépendante.

En conséquence, la Cour a dressé la liste des points devant être repris pour que cet accord puisse être compatible avec la Charte des droits fondamentaux. Liste des points qui pourrait être complexe à mettre en oeuvre (par exemple sur le droit à l'information individuelle des passagers aériens en cas d'utilisation de leurs données).

Quelles suites pour les accords PNR ?

Conséquences. Si cet avis témoigne d'une construction étape par étape d'une jurisprudence méthodique de la CJUE en faveur du droit à la protection des données personnelles, il devrait aussi avoir de nombreuses conséquences politiques et juridiques. Quid du devenir de cet accord qui devait encore être conclu et de la période transitoire mise en place pour encadrer les transferts de données PNR? Comment adapter l'accord et surtout convaincre le Canada de prendre en compte l'avis de la Cour? Quelle portée vis à vis des accords PNR existants ou de la directive PNR-UE? Quelle portée pour les compagnies aériennes et les prestataires privés assurant la mise en oeuvre de ces transferts?

Cette liste non exclusive témoigne de l'importance de cet avis qui devrait également entraîner une réévaluation des positions européennes et des directives de négociations de l'Union européenne face à ses partenaires européens. Le signal envoyé par la CJUE a dès lors clairement une portée internationale et marque une nouvelle étape dans l'encadrement et la limitation des transferts de données en masse.

Un nouvel avertissement?

De façon plus générale, cet avis marque l'insistance de la Cour à dégager des marqueurs clairs d'un niveau efficace de protection des données personnelles. Qu'il s'agisse de la lutte contre le terrorisme (PNR, directive rétention des données) ou des transferts de données en matière civile ou commerciale (Safe Harbor), la Cour a dégagé de nombreux critères permettant d'attester ou non du respect des règles européennes.

A la veille de l'entrée en vigueur en mai 2018 du règlement général sur la protection des données personnelles, c'est un nouvel avertissement qui est adressé, bien au-delà du seul cadre des données PNR.

http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=621924

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

Actualité législative de la blockchain en Europe

BRUXELLES ET LA REVOLUTION BLOCKCHAIN Le sujet « blockchain » connaît aujourd’hui une forte actualité à travers toute l’Europe, qu’il s’agisse des initiatives prises par certains Etats-membres (programme e-residency ou expérience de vote en ligne en Estonie, registre foncier suédois, projet blockchain et crypto-currencies polonais, rapport du Government Office for Science britannique de janvier 2016 notamment) ou des très nombreux projets initiés par des entreprises.

La blockchain fait aussi l’objet d’une attention soutenue de la part des institutions européennes.

C’est le cas dans le domaine bancaire et financier (rapport de l’autorité bancaire européenne sur les monnaies virtuelles de juin 2014 et analyse de la BCE sur les systèmes de monnaies virtuelles de février 2015 par exemple). C’est également le cas dans d’autres domaines, avec un intérêt marqué pour les applications civiques de la blockchain.

Pas d’actualité législative

Il n’y a pas aujourd’hui d’actualité législative proprement dite qui pourrait concerner la blockchain à l’échelle de l’Union européenne mais la période actuelle évoque plutôt une phase pré-législative intense, marquée par une ambition double : ne pas empêcher le développement de cette technologie en Europe et créer un écosystème favorable à l’échelle de l’UE, avec le souci d’une réglementation intelligente.

Ambition qui s’inscrit aussi dans le cadre de l’agenda digital et de l’horizon 2020 du programme européen de recherche et d’innovation.

Le Parlement européen et la Commission européenne ont organisé plusieurs évènements très prospectifs sur le sujet (et notamment un atelier sur la blockchain et les cryptomonnaies organisé par la DG CONNECT en avril 2015, un séminaire du groupe libéral ADLE consacré à la question de la régulation – regulatory technology or technology to regulate- en mars 2016 et une conférence en juin dernier -Blockchains for social good)

Une résolution du Parlement européen du 26 mai 2016

Doit être particulièrement signalé le rapport de la commission des affaires économiques du Parlement européen sur les monnaies virtuelles en date du 3 mai 2016 adopté grâce à l’impulsion de J. von Weizsacker, député allemand et la résolution du Parlement du 26 mai 2016 qui a souligné la nécessité d’évaluer le droit de l’Union européenne à l’aune de ces nouvelles technologies.

Quels enjeux ?

De ces discussions, il résulte aussi que trois types d’enjeux peuvent être identifiés, qui pourraient à terme nécessiter une intervention législative de la Commission européenne dans le domaine de la blockchain :

1/ des enjeux en terme de réduction des risques (cyber-risques, risques de fraude, de blanchiment, de concurrence ou encore de respect de la vie privée ;

2/ des enjeux en terme de confiance globale : certification, traçabilité notamment agro-alimentaire, sécurité des transactions immobilières ou encore protection de la propriété intellectuelle, et enfin ;

3/ des enjeux en terme de compétitivité au regard de l’avantage que pourrait constituer ou non l’existence d’une législation spécifique de l’Union européenne.

Ces éléments traduisent l’importance du suivi accordé par Bruxelles à l’actualité de la blockchain. Ils montrent aussi qu’une approche strictement nationale n’est ni pertinente ni efficace, quelque soit l’angle sous lequel ce dossier est appréhendé.