Depuis plus de dix ans,
l'Union Européenne (UE) tente d'adopter une réglementation relative
à un fichier européen de données sur les passagers aériens ou
plus communément appelé « Passenger Name Record »
(PNR).
Dès 2004 et sur demande
des États-Unis qui souhaitaient recevoir les données des passagers
issus d'Europe, l'Union européenne a tenté de mettre en place un
PNR d'abord avec les États Unis puis propre à l'UE sans succès,
échec qui a été reconduit avec le nouveau projet de 2011.
Source : theparliamentmagazine.eu
La principale critique résidait dans l'incompatibilité du projet de réglementation avec les droits fondamentaux et en particulier avec les droits à la protection de la vie privée et aux données personnelles de tous les voyageurs, tels que définis aux articles 7 et 8 de la Charte des Droits Fondamentaux de l’Union Européenne.
Relancée après les
attentats de Paris en janvier 2015, il aura fallu attendre début
décembre 2015 pour que les 28 États membres de l'UE adoptent une
position commune, validée par la commission des libertés civiles du
Parlement européen. Dans un second temps, le projet de directive
sera mis au vote en séance plénière début 2016 puis devra être
approuvé en Conseil des ministres de l'UE. Si elle est adoptée,
cette directive devra ensuite être transposée dans les législatives
nationales des États membres dans un délai de deux ans. .
Quel est l'objectif exact
de ce système de collecte des données PNR ?
Pas besoin de chercher
plus loin tout est dit dans le titre officiel de la future
réglementation, la directive européenne réglementant
l'utilisation des données des dossiers passagers (PNR) pour la
prévention et la détection des infractions terroristes et des
formes graves de criminalité ainsi que pour les enquêtes et les
poursuites en la matière. En
d'autres termes, il s'agit de contraindre les compagnies aériennes à
transmettre les données de leurs passagers issus de pays de l'UE
dans le but d'aider les autorités à lutter contre le terrorisme et
la criminalité grave. Plus précisément, les données PNR désignent
les différentes informations fournies par les passagers aux
transporteurs aériens au stade de la réservation commerciale et de
l'enregistrement. Ces données permettent d’identifier, entre
autres l’itinéraire et les dates du déplacement, les vols
concernés, les informations concernant les bagages, le contact à
terre du passager (numéro de téléphone au domicile, professionnel,
etc.), les tarifs accordés, l’état du paiement effectué, le
numéro de carte bancaire du passager, mais également les services
demandés à bord qui peuvent informer sur les préférences
alimentaires spécifiques (végétarien, asiatique, casher, etc) ou
même sur l’état de santé du passager, s'il demande
spécifiquement des services particuliers durant le vol.
Les données PNR ne
peuvent être traitées que pour la prévention et la détection
d'infractions terroristes et d'infractions graves ainsi que la
réalisation d'enquêtes et de poursuites en la matière.
Une
liste unique des infractions a été établie, incluant par exemple
la traite d'êtres humains, la participation à une organisation
criminelle, la cybercriminalité, la pédopornographie et le trafic
d'armes, de munitions et d'explosifs. Ainsi il est important de
souligner que l'utilité de cet outil ne se limitera pas à détecter
des terroristes ou des combattants étrangers mais aussi à lutter
contre les trafics de drogue entre autres.
Selon
l'eurodéputé britannique et rapporteur du dossier PNR, Timothy
KIRKHOPE, « les données PNR détectent des schémas de
comportement, elles ne font pas le profilage des antécédents des
gens, elles ne cherchent pas à extraire des informations
sensibles. »
En effet, la finalité de
leur recueil est de pouvoir identifier des personnes n'ayant pas de
lien connu avec le terrorisme, mais dont l'analyse des données
pourraient suggérer leur implication et déclencher des enquêtes.
Certains pays comme le Royaume Uni et l'Irlande ont déjà un PNR,
et, d'autres sont en train de mettre en place, mais il n'y a pas
encore de coordination au niveau européen pour que ces registres
puissent communiquer entre eux. La France, elle, a mis en place, à
titre expérimental, le système API-PNR .
Qui
est concerné par cette réglementation?
Le
futur PNR européen s'applique à tous les vols extra-européens
c'est à dire ceux qui partent d'un État tiers vers un État membre de
l'UE et inversement. Les transporteurs aériens de ces vols devront
transférer les données PNR vers les « unités de
renseignements sur les passagers ». Ce n'est pas obligatoire
mais les vols intra-UE peuvent être également concernés.
Cependant, sont exclus du
champ d'application de la directive tous les opérateurs économiques
autres que les transporteurs aériens, comme les agences et les
organisateurs de voyage. Les États membres
sont quand même autorisés à prévoir conformément à leur droit
national un système de collecte et de traitement de données PNR
détenues par ces opérateurs.
Après
d'âpres discussions, le délai de rétention des données en toute
transparence a été réduit à six mois de conservation des
données transmises par les transporteurs aériens. Après ce délai,
les données seront conservées de façon masquée pendant quatre ans
et demi.
La
principale question sur ce projet de réglementation est relative aux
garanties de protection des données personnelles.
Pour le groupe européen
des 29 CNIL, le G29, une telle réglementation n'était acceptable
que dans le cas où la nécessité d’une telle collecte était
démontrée et le principe de proportionnalité respecté. Ainsi, il
devient obligatoire pour l'unité nationale de renseignements sur les
passagers de nommer un délégué à la protection des données
chargé de contrôler le traitement des données PNR et de mettre en
œuvre les garanties correspondantes ainsi qu'agir comme point de
contact unique pour toutes les questions relatives au traitement des
données PNR du passager concerné.
De plus,l'autorité de
supervision nationale sera chargée de vérifier la légalité du
traitement des données et de mener des enquêtes.
En outre, l'octroi de
l'accès à l'ensemble des données PNR qui permettent d'identifier
immédiatement le sujet des données devra se faire uniquement dans
des conditions très strictes et limitées après la période de
conservation initiale.
Enfin, tout traitement de
données devrait être journalisé ou faire l'objet d'une trace
documentaire, et les passagers devraient être clairement et
précisément informés de la collecte des données PNR et de leurs
droits.
Autre particularité, le
texte prévoit l'existence d'une clause de révision de la
réglementation. En effet, la Commission devra effectuer une révision
de la directive sur les PNR de l'UE deux ans après sa transposition
en droit national notamment sur le respect des normes de protection
des données à caractère personnel, la proportionnalité, la
nécessité aux objectifs, la durée de conservation et l'efficacité
du partage des données entre les Etats membres . Cette révision pourrait
même permettre d'élargir le champ d'application de la directive aux
opérateur économiques.
Même s'il est légitime
de s'interroger sur l'efficacité réelle d'une telle réglementation,
le PNR américain n'aurait réussi à faire intercepter que deux terroristes en dix ans,
ce nouvel accord européen semble satisfaisant pour la protection des
données à caractère personnel. La confiance dans cet accord peut
être d'autant plus assise que la Cour de justice européenne ne
manquera de censurer l'accord si la balance est plus en faveur de la
sécurité que des libertés personnelles. En effet, la CJUE a incarné en 2015
pleinement son rôle de gardien des libertés personnelles en
annulant la directive sur la conservation des données ou l'accord du
Safe Harbor.
Sources :
1. Communiqué de presse n°894/15 du 4 décembre 2015 du Conseil de l'UE "Directive de l'UE relative aux données des dossiers passagers (PNR) : le Conseil confirme l'accord intervenu avec le Parlement européen.
2. Editorial "PNR, l'épilogue" du magasine "Expertises des systèmes d'information" décembre 2015
Aucun commentaire:
Enregistrer un commentaire