L'arrêt de la Cour européenne de justice stipule que le transfert de données relatives aux passagers aériens européens vers les autorités américaines, approuvé par la Commission et le Conseil, est illégal.
La Cour européenne de Justice a rendu son arrêt le 30 mai 2006 stipulant que "ni la décision de la Commission constatant la protection adéquate de ces données par les Etats-Unis, ni la décision du Conseil approuvant la conclusion d'un accord sur leur transfert vers ce pays, ne sont fondées sur une base juridique appropriée."
L'arrêt de la CEJ annule donc les décisions de la Commission et du Conseil. L'accord en tant que tel n'a pas été annulé.
Le commissaire européen à la justice et aux affaires intérieures, Franco Frattini, a déclaré qu'il tenterait de renégocier l'accord actuel sur les Passenger Name Record (données contenues dans les systèmes de réservation et de contrôle des départs des transporteurs aériens) sur une base juridique différente, mais avec le même contenu.
Le Contrôleur européen de la protection des données, Peter Hustinx, estime que l'arrêt de la CEJ a "affaibli la protection des données des citoyens européens dans le cas où leurs données sont utilisées pour des finalités liées aux services répressifs" et recommande l'adoption d'un instrument juridique complet et cohérent pour garantir la protection des données à caractère personnel en-dehors du premier pilier.
L'Association des compagnies aériennes espère que la Commission et les autres parties concernées s'efforceront désormais de définir un "nouveau cadre juridique qui pourrait être nécessaire en raison de l'arrêt".
Le député européen Jean-Marie Cavada (ALDE), président de la Commission des Libertés civiles, estime que le Parlement doit "rester vigilant concernant la base juridique proposée pour le nouvel accord, à laquelle le Parlement doit clairement participer. Sur cette question, il ne faut surtout pas conclure d'accords bilatéraux mais renforcer la coopération entre les trois institutions européennes."
La députée européenne Sophie In't Veld (ALDE) ne juge pas nécessaire de signer un nouvel accord avec les Etats-Unis. "Sinon, je crains que le Conseil tente de conclure un accord dans le cadre du troisième pilier (coopération intergouvernementale) et ignore complètement les préoccupations du Parlement au sujet de la protection des données," a-t-elle déclaré.
Le député des Verts Cem Özdemir considère que la coopération entre l'UE et le ministère de la sécurité intérieure et le service des douanes et de protection des frontières des Etats-Unis est nécessaire pour garantir la sécurité des citoyens européens et américains, mais précise qu'il "est possible d'établir des garanties sans violer des droits fondamentaux."
Dans l'UE, les données à caractère personnel ne doivent être transférées aux pays tiers que 'de façon très exceptionnelle'. Cependant, le 17 mai 2004, le Conseil a adopté une décision approuvant la conclusion d'un accord entre l'UE et les Etats-Unis sur le traitement et le transfert des données relatives aux passagers aériens détenues par les transporteurs aériens établis dans les Etats membres de l'UE vers les autorités américaines (service des douanes et de protection des frontières). Cet accord a été signé le 28 mai 2004 et est entré en vigueur immédiament.
En septembre 2004, le Parlement européen a présenté un recours contre la Commission devant la Cour européenne de Justice (CEJ) sur cet accord de transfert des données vers les Etats-Unis, estimant que la Commission était coupable d'excès de pouvoirs, de violation des droits fondamentaux et de violation du principe de proportionnalité. Le Parlement a également saisi la CEJ pour obtenir l'annulation de la décision du Conseil approuvant cet accord.
Le Contrôleur européen de la protection des données (CEPD) a soutenu le Parlement dans les deux affaires.
