La Cour de justice européenne (CJUE) estime que l’accord passé avec le Canada sur les données des passagers aériens, le PNR, ne peut être conclu sous sa forme actuelle en raison de l'incompatibilité de plusieurs de ses dispositions avec les droits fondamentaux reconnus par l'UE. Même si la lutte contre le terrorisme justifie son existence. Adoptée le 14 avril 2016, la directive réglementant l'utilisation dans l'UE des données des dossiers passagers « pour la prévention et la détection d'infractions terroristes et de formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière » donne des soucis aux juristes. Le projet d’accord signé en 2014 avec le Canada permet le transfert systématique et continu des données PNR de l’ensemble des passagers aériens de l'UE à une autorité canadienne, ainsi que de leur éventuel transfert ultérieur à d’autres autorités et d’autres pays tiers. Mais la CJUE, saisie par le Parlement européen, a jugé le 26 juillet 2016 que si les ingérences dans les droits fondamentaux des citoyens européens sont justifiées, « plusieurs dispositions de l’accord ne sont pas limitées au strict nécessaire et ne prévoient pas des règles claires et précises ». Sont visées en particulier les données sensibles, qui recouvrent l’ensemble des informations révélant « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale » ou concernant « l’état de santé ou la vie sexuelle d’une personne ». Compte tenu du risque d’un traitement contraire au principe de non-discrimination, un transfert des données sensibles vers le Canada nécessiterait une justification précise et particulièrement solide, tirée de motifs autres que la protection de la sécurité publique contre le terrorisme et la criminalité transnationale grave. Or, en l’occurrence, une telle justification fait défaut selon la Cour, le traitement et la conservation de ces données étant donc incompatibles avec les droits fondamentaux. L’autre argument de la CJUE concerne l’utilisation des données PNR de passagers inconnus des services de sécurité pendant et après leur séjour au Canada. La Cour relève que, dès lors que les passagers aériens ont, après vérification de leurs données PNR, été admis à entrer sur le territoire de ce pays tiers, l’utilisation de ces données pendant leur séjour au Canada « doit se fonder sur des circonstances nouvelles justifiant cette utilisation ». Celle-ci nécessite donc des règles « prévoyant les conditions matérielles et procédurales régissant une telle utilisation afin, notamment, de protéger les données concernées contre les risques d’abus ». De telles règles doivent se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles les autorités canadiennes sont autorisées à les utiliser. Mais selon le jugement, le stockage continu des données PNR de l’ensemble des passagers aériens après leur départ du Canada « n’est pas limité au strict nécessaire » : s’agissant des passagers aériens pour lesquels « un risque en matière de terrorisme ou de criminalité transnationale grave n’a pas été identifié à leur arrivée au Canada et jusqu’à leur départ de ce pays », il n’apparaît pas exister, une fois qu’ils sont repartis, de rapport ne serait-ce qu’indirect entre leurs données PNR et l’objectif poursuivi par l’accord envisagé, qui justifierait la conservation de ces données. Pour les passagers aériens identifiés par les services de sécurité comme pouvant, même après leur départ du Canada, présenter un risque en termes de lutte contre le terrorisme et la criminalité transnationale grave, le stockage des données PNR est en revanche jugé admissible au-delà de leur séjour dans ce pays, même pour une durée de cinq ans.  La Cour considère également que d’autres dispositions de l’accord envisagé sont incompatibles avec les droits fondamentaux, « à moins que celui-ci ne soit révisé pour mieux encadrer et préciser les ingérences ». Cet accord entre l’Union européenne et le Canada devrait :   *déterminer de manière plus claire et précise certaines des données PNR à transférer ; *prévoir que les modèles et critères utilisés pour le traitement automatisé des données PNR seront spécifiques et fiables ainsi que non discriminatoires ; *prévoir que les bases de données utilisées seront limitées à celles exploitées par le Canada en rapport avec la lutte contre le terrorisme et la criminalité transnationale grave ; *prévoir que les données PNR ne puissent être communiquées par les autorités canadiennes aux autorités publiques d’un pays non UE que s’il existe un accord entre l’Union et ce pays équivalent à l’accord envisagé ou bien une décision de la Commission européenne dans ce domaine ; *prévoir un droit à l’information individuelle des passagers aériens en cas d’utilisation des données PNR les concernant pendant leur séjour au Canada et après leur départ de ce pays ainsi qu’en cas de divulgation de ces données à d’autres autorités ou à des particuliers ; *garantir que la surveillance des règles sur la protection des passagers aériens à l’égard du traitement de leurs données PNR est assurée par une autorité de contrôle indépendante. Étant donné que les ingérences que comporte l’accord envisagé « ne sont pas toutes limitées au strict nécessaire et ne sont pas ainsi entièrement justifiées », la CJUE en conclut que l’accord envisagé ne peut pas être conclu sous sa forme actuelle.