En novembre 2001, les Etats-Unis ont adopté une législation anti-terroriste à vocation universelle¹, qui contraint les compagnies aériennes du monde entier à fournir au bureau américain des douanes et de la protection des frontières (CPB) un accès électronique à leurs « données passagers² », sous peine de lourdes amendes, outre la perte de leurs droits d’atterrissage.
Depuis lors, pour chaque vol à destination des Etats-Unis ou traversant simplement son territoire, les principales compagnies aériennes européennes transmettent aux autorités américaines leurs données PNR³, via le système de réservation Amadeus.
Dès juin 2002, la Commission européenne alertait l’administration Bush de la possible non-conformité d’une telle mesure avec les règles communautaires en matière de protection des données personnelles⁴.
Dans le cadre de transferts de « données européennes » vers des pays tiers⁵, la Commission européenne est en effet chargée d’engager, au moment opportun, des négociations avec les Etats soupçonnés de ne pas assurer un niveau de protection adéquat⁶. En cas d’échec, « les États membres prennent les mesures nécessaires en vue d’empêcher tout transfert de même nature vers le pays tiers en cause ».
Les négociations ainsi menées par la Commission, au nom de la protection des données personnelles des ressortissants des Etats membres, ont permis un certain nombre d’avancées⁷.
Le ministère américain de la sécurité intérieure a accepté de limiter la finalité du traitement à la lutte contre le terrorisme et les crimes liés, y compris les crimes graves et organisés qui par nature revêtent un caractère international.
Dans le cadre de ces négociations, la Commission européenne a également obtenu que :
– les catégories de données PNR transmises soient au nombre de 34 (au lieu de 39) et le CBP s’est engagé à ne pas exiger les données PNR manquantes (les compagnies en communiquent généralement entre 10 et 15⁸) ;
– les données « sensibles » ainsi collectées soient détruites. Il s’agit des données révélant, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que l’état de santé et la vie sexuelle⁹. Ainsi les données relatives aux plateaux repas sont des données sensibles appelées à être détruites !
– la durée de conservation de ces données passe de 50 ans à 3,5 ans, durée des accords bilatéraux entre la Commission et l’Administration américaine !
– les autorités de contrôle des Etats membres¹⁰ aient accès à une procédure d’urgence, pour le compte des ressortissants insatisfaits du sort réservé à leur plainte par le ministère américain de la sécurité intérieure¹¹ ;
– l’effectivité de ces engagements fasse l’objet d’examens annuels conjoints (Commission/CBP).
Enfin, pour que le traitement de ces données PNR soit loyal aux termes de la législation européenne et française, encore faut-il que les passagers en aient connaissance, ne serait ce que pour exercer leurs droits !
Lors de la collecte de leurs données nominatives, ils devront donc nécessairement être informés du caractère obligatoire ou facultatif des réponses, des conséquences d’un défaut de réponse, des destinataires des informations, ainsi que de l’existence d’un droit d’accès¹².
En ce sens, la Commission et le CBP ont élaboré conjointement et transmis aux compagnies aériennes¹³ un modèle d’information des passagers, texte que le groupe de protection des données des citoyens de l’Union européenne (groupe de l’article 29¹⁴) a refusé d’approuver en l’état¹⁵.

•••

Ces négociations transatlantiques ont été officialisées par une décision de la Commission¹⁶ et du Conseil¹⁷ et un Accord international entre Communauté européenne et les Etats-Unis d’Amérique¹⁸.
Pour autant, malgré ces « progrès notables», le groupe de l’article 29 considère que les termes de l’accord ne permettent toujours pas un niveau de protection adéquat, et qu’en l’état, des mesures pratiques doivent être adoptées « pour limiter au maximum les atteintes aux droits des passagers¹⁹».
Il suggère que :
– Les compagnies aériennes modifient aussi rapidement que possible la méthode « globale » de transfert des données PNR qui permet au CBP de recevoir l’ensemble des données contenues dans leurs dossiers de réservation, et la remplacent par une méthode « ciblée », grâce à un logiciel de filtrage, qui exclut lors du transfert les « données qui ne figurent pas dans la liste positive définie par l’accord international ainsi que les données de nature sensible qui sont mémorisées dans les champs inclus dans la liste positive (…) ».
– La Commission achève ses négociations avec les autorités américaines et les transporteurs aériens de manière à ce qu’un système uniforme, approprié, d’information à l’égard des passagers puisse être mis en Å“uvre.
En outre le groupe de travail a précisé que « l’expérience récente acquise par certains pays, et notamment l’Australie, montre que l’on peut apporter une réponse proportionnelle et raisonnable aux exigences légitimes de la sécurité intérieure et de la lutte contre le terrorisme en utilisant des systèmes qui sont compatibles avec les principes fondamentaux du respect de la vie privée et de la protection des données à caractère personnel²⁰ ».
Le Parlement européen n’est pas en reste, écarté lors du processus institutionnel, il a saisi le Cour de Justice des Communautés européenne le 25 juin dernier pour, notamment, vérifier si la décision de la Commission et l’accord international ne portent pas atteinte aux droits des ressortissants de l’Union européenne.
Précisons que la CNIL estime aussi que la transmission des données PNR aux autorités américaines « constitue un détournement de finalité du traitement (…) dans la mesure où elle ont été collectées à des fins commerciales et non pour des raisons de sécurité », et qu’elle viole ainsi la loi Liberté et Informatiques du 6 janvier 1978 et la législation communautaire !
Dans ce climat obsessionnellement sécuritaire, il y a urgence à définir un cadre européen et mondial harmonisé relatif à la protection des données personnelles des passagers aériens !

¹ The Aviation and Transp ortation Security Act adopté le 19 novembre 2001 et l’Enhanced Border Security and Visa Entry Reform Act adopté le 5 mai 2002.
² Système PNR : Passenger Name Records.
³ Nom, adresse, email, siège, mode de paiement, contacts téléphoniques, itinéraire, agence et agent de voyage, statut de voyage du passager, aller-simple, remarques générales, assurance, nombre de bagages, informations diverses sur le voyage, etc…
⁴ Communication de la Commission au Conseil et au Parlement, Transfert des données des dossiers passagers (Passenger Name Record – PNR) : Une démarche globale de l’Union européenne, 16 décembre 2003, COM(2003) 826 final.
⁵ Pays tiers à l’Union européenne.
⁶ Article 25 de la directive du 24 octobre 1995.
⁷ Déclaration d’engagement des Etats-Unis du 11 mai 2003, Undertakings of the United States Bureau of Customs and Border Protection and the United states transportation security administration.
⁸ Voir Communication de la Commission au Conseil et au Parlement, Transfert des données des dossiers passagers (Passenger name Record – PNR) : Une démarche globale de l’Union européenne, 16 décembre 2003, COM(2003) 826 final.
⁹ Article 8 de la directive.
¹⁰ La CNIL pour la France.
¹¹ Un responsable de la vie privée a été créé en ce sens, qui devra rendre compte annuellement au Congrès.
¹² Article 27 de la loi du 6 janvier 1978.
¹³ Via notamment l’IATA (International Air Transport Association).
¹⁴ Article de la directive créant ce Groupe de protection des personnes à l’égard du traitement des données à caractère personnel. Groupe constitué de représentants des autorités de contrôle des Etats membres.
¹⁵ Cf. page 8 de la Communication de la Commission précitée.
¹⁶ Décision de la Commission du 14 mai 2004 relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des Etats-Unis d’Amérique, JOCE n° L. 235 du 6 juillet 2004.
¹⁷Décision du Conseil du 17 mai 2004, concernant la conclusion d’un accord entre la Communauté européenne et les Etats-Unis d’Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontière du ministère américain de la sécurité intérieure, JOCE n° L. 183 du 20 mai 2004.
¹⁸ Accord entre la Communauté européenne et les Etats-Unis d’Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure, JOCE n° L. 183 du 20 mai 2004.
¹⁹ Avis 6/2004 du 22 juin 2004 concernant la mise en Å“uvre de la Décision de la Commission du 14 mai 2004 et de l’Accord entre la Communauté européenne et les Etats-Unis d’Amérique.
²⁰ Avis 2/2004 du 29 janvier 2004 sur le niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens (PNR) transférés au Bureau des douanes et de la protection des frontières des Etats-Unis (US CBP).