• E-reputation

    par brm_admin

    Les données des passagers aériens en transit … sécuritaire aux Etats-Unis ! – 28/01/2004

    En novembre 2001, les Etats-Unis ont adopté une législation anti-terroriste à vocation universelle, qui contraint les compagnies aériennes du monde entier à fournir aux autorités américaines un accès électronique aux « données passagers », contenues dans leurs systèmes de réservation et de contrôle des départs1.

    Dès juin 2002, la Commission européenne informait l’administration Bush de la possible non-conformité d’une telle mesure avec les règles communautaires en matière de protection des données personnelles2.

    Dans le cadre de transferts de « données européennes » vers des pays tiers3, la Commission européenne est en effet chargée d’engager, au moment opportun, des négociations avec les Etats soupçonnés de ne pas assurer un niveau de protection adéquat4. En cas d’échec, « les États membres prennent les mesures nécessaires en vue d’empêcher tout transfert de même nature vers le pays tiers en cause ».

    Les négociations ainsi menées par la Commission, au nom de la protection des données personnelles des ressortissants des Etats membres, ont permis de retarder l’entrée en vigueur de ces dispositions au 5 mars 2003.

    Depuis, avant chaque vol à destination des Etats-Unis ou devant simplement traverser son territoire, les principales compagnies aériennes européennes transmettent les données PNR de leurs passagers5, via le système de réservation Amadeus, aux autorités américaines.

    Bien que la lutte anti-terroriste américaine exige près de 34 données par passager6, les données PNR transmises par les compagnies en contiennent généralement entre 10 et 157 ; et les Etats-Unis se sont engagés, auprès de la Commission, à ne pas exiger de celles-ci qu’elles collectent les données manquantes.

    Dans le cadre de ces négociations, la Commission européenne a également obtenu que :

    – les données « sensibles » ainsi collectées soient détruites. Il s’agit des données révélant, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle8. Cette obligation concerne donc notamment les données relatives aux plateaux repas !

    – la durée de conservation de ces données passe de 50 ans à 3,5 ans, durée des accords bilatéraux entre la Commission et l’Administration américaine !

    – les autorités de contrôle des Etats membres9 aient accès à une procédure d’urgence, pour le compte des ressortissants qui considèrent que le ministère américain de la sécurité intérieure10 n’a pas statué de manière satisfaisante sur leurs plaintes ;

    – l’effectivité de ces engagements fasse l’objet d’examens annuels conjoints (Commission/CBP11 ).

    Enfin, pour que le traitement de ces données PNR soit loyal aux termes de la législation européenne et française, encore faut-il que les passagers en aient connaissance pour être en mesure d’exercer leurs droits !

    Lors de la collecte de leurs données nominatives, ils devront donc nécessairement être informés du caractère obligatoire ou facultatif des réponses, des conséquences d’un défaut de réponse, des destinataires des informations, ainsi que de l’existence d’un droit d’accès12.

    En ce sens, la Commission et le CBP ont adopté et transmis un texte conjoint aux compagnies aériennes13 en tant que modèle d’information des passagers. Texte que le groupe de protection des données des citoyens de l’Union européenne (groupe de l’article 2914) a refusé d’adopter ou d’approuver, estimant que les transferts de données PNR vers les Etats-Unis sont illégaux et que rien ne devrait être fait pour estomper ce fait15 .

    •••

    Une décision-cadre de la Commission devrait intervenir mi-2004 pour définir la politique communautaire en matière de protection des données PNR, dans le cadre de la coopération internationale contre le terrorisme et le crime organisé. Cette décision constatera que, suite aux engagements américains, les transferts des données PNR se font dans le respect d’un niveau adéquat de protection des citoyens européens. Néanmoins, pour garantir ce niveau élevé de protection, la Commission et le Parlement européen16 ont jugé nécessaire que la future politique de l’Union européenne mette en place un système centralisé européen de collecte des données PNR dans le but de filtrer et sécuriser les données transmises17.

    Parallèlement, un accord international sera adopté pour autoriser les transferts des données PNR des compagnies aériennes vers les Etats-Unis18.

    Dans ce climat obsessionnellement sécuritaire, l’urgence d’un cadre européen et mondial relatif à la protection des données personnelles des passagers aériens est bien réelle, d’autant plus que le Canada et l’Australie, ainsi que certains Etats membres sont eux aussi désireux d’effectuer de tels contrôles.

    1Système PNR : Passenger Name Records.
    2Directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et le Règlement du 24 juillet 1989 instaurant un code de conduite pour l’utilisation de système informatisés de réservation.
    3Pays tiers à l’Union européenne.
    4Article 25 de la directive du 24 octobre 1995.
    5Nom, adresse, email, siège, mode de paiement, contacts téléphoniques, itinéraire, agence et agent de voyage, statut de voyage du passager, aller-simple, remarques générales, assurance, nombre de bagages, informations diverses sur le voyage, etc…
    6initialement 39.
    7Voir Communication de la Commission au Conseil et au Parlement, Transfert des données des dossiers passagers (Passenger name Record – PNR) : Une démarche globale de l’Union européenne, 16 décembre 2003, COM(2003) 826 final.
    8Article 8 de la directive.
    9La CNIL pour la France.
    10(Bureau américain des douanes et de la protection des frontières). Un responsable de la vie privée a été créé en ce sens, qui devra rendre compte annuellement au Congrès.
    11Bureau américain des douanes et de la protection des frontières.
    12Article 27 de la loi du 6 janvier 1978.
    13Via notamment l’IATA (International Air Transport Association).
    14Article de la directive créant ce Groupe de protection des personnes à l’égard du traitement des données à caractère personnel. Groupe constitué de représentants des autorités de contrôle des Etats membres.
    15Cf. page 8 de la Communication de la Commission précitée.
    16Résolution du Parlement européen du 9 octobre 2003.
    17Système « pull » avec filtrage. Actuellement les autorités américaines ont un accès direct aux bases de données des compagnies acceptant les transferts des données PNR : système « push ».
    18Le Parlement européen sera consulté par la Commission sur ces deux éléments.