Information et veille juridique en droit de l'Union européenne

Nouvel accord de transfert des données de passagers aériens (PNR) aux autorités nord-américaines

 

Le transfert aux autorités nord américaines de fichiers des passagers  détenus par les compagnies aériennes a fait l’objet d’accords successifs entre l’Union européenne et les Etats-Unis. Le dernier en date a été signé le 23/07/2007 (1). Applicable pour une durée de 7 ans, il autorise les compagnies aériennes a communiquer au ministère américain de la sécurité intérieure un certain nombre d’informations personnelles sur les passagers transportés à destination ou via les Etats-Unis.

Ces informations pourront être conservées dans une base de données active pendant sept ans, puis transférées vers une base inactive pour une durée supplémentaire de huit ans, pendant laquelle l’accès ne sera possible que dans les situations "exceptionnelles" et sous réserve de "conditions strictes". Le ministère est supposé éliminer les informations sensibles figurant dans les données PNR et ne pas en faire usage, sauf « dans les cas exceptionnels où des vies sont en jeu » (les informations «sensibles» sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance à un syndicat ou celles qui concernent la santé ou la vie sexuelle de la personne). D’autres agences américaines pourront avoir accès données PNR à des fins de prévention du terrorisme et d’autres formes de criminalité grave et de la lutte contre ceux-ci.

L’ accord donne la liste des donnée transmissibles :

1-Code repère du dossier PNR (record locator code)

2. Date de réservation/d'émission du billet

3. Date(s) prévue(s) du voyage

4. Nom(s)

5-Informations disponibles sur «les grands voyageurs» et les programmes de fidélisation (c'est-à-dire billets gratuits, surclassement, etc.)

6. Autres noms figurant dans le PNR, y compris nombre de voyageurs dans le PNR

7. Toutes les informations de contact disponibles (y compris les informations sur la source)

8. Toutes les informations disponibles relatives au paiement/à la facturation disponibles (les autres détails de l'opération liés à la carte de crédit ou au compte et n'ayant pas de lien avec l'opération relative au voyage non inclus)

9. Itinéraire de voyage pour le PNR spécifique

10. Agence de voyages/agent de voyages

11. Informations sur le partage de codes

12. Informations «PNR scindé/divisé»

13. Statut du voyageur (y compris confirmations et statut d'enregistrement)

14. Informations sur l'établissement des billets, y compris le numéro du billet, billets aller simple et données Automated Ticketing Fare Quote (prix du billet)

15. Toutes les informations relatives aux bagages

16. Informations relatives au siège, y compris numéro du siège occupé

17. Remarques générales, y compris données OSI (Other Service Information), SSI et SSR (Special Service Request)

18. Toutes les informations APIS (Advanced Passenger information System)  recueillies

19. Historique de tous les changements apportés au PNR assortis des numéros de rubriques 1 à 18.

Le nombre des données pouvant être transmises, s’il paraît important au vu de cette liste, a pourtant été apparemment réduit par rapport à ce que demandaient les autorités américaines et à ce qu’il était auparavant (34).

Cela ne suffit pas à rassurer les autorités européennes chargées de la protection des données personnelles. A l’instar du Contrôleur européen de la Protection des Données,  la Commission Informatique et libertés française (CNIL), a,  par exemple, dénoncé la menace que fait peser l’accord sur de nombreuses garanties défendues par les CNIL européennes et « la surenchère américaine » opérée  « au détriment des citoyens européens » (2).

La CNIL dénonce l’extension du nombre d’autorités autorisées à accéder aux données, la possibilité pour les Etats-Unis de décider unilatéralement de modifier les finalités d’utilisation des données, la possibilité pour les autorités américaines de transférer des données vers des pays tiers sans consultation préalable des autorités européennes, la réduction en trompe l’œil du nombre de données pouvant être transmises, cette réduction ayant été opérée… grâce au regroupement artificiel de plusieurs champs de données en un. Autres points critiqués : la durée excessive de conservation des données, la possibilité d’accès, même limité, aux données sensibles, l’évaluation de l’application de l’accord confiée au seul commissaire européen en charge de la Justice-Liberté-Sécurité, sans que les autorités nationales de protection des données y soient clairement associées.

Il suffit de lire les documents du Contrôleur européen de la protection des données ou du Groupe « de l’article 29 » (3) pour constater que la CNIL n’est pas seule à tirer la sonnette d’alarme. Voila qui donne à réfléchir, d’autant plus que la Commission européenne a annoncé son intention de proposer aux 27 pays de l’Union de se doter d’un système de stockage des données PNR des passagers arrivant chez eux, toujours sous couvert de lutte contre le terrorisme. Cette proposition pourrait être présentée à l’automne.

  13/08/2007

 

En savoir plus : Autres articles sur ce thème : genèse et évolution des accords sur le transfert des données PNR aux Etats-Unis:

Contestation des transferts d'informations personnelles aux autorités américaines

La Cour de justice des Communautés européennes juge illégal le transfert d'informations personnelles aux autorités américaines

 


 

1 - Accord entre l'Union européenne et les États-Unis d'Amérique sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au ministère américain de la sécurité intérieure (DHS) (accord PNR 2007),  23/07/2007 (JOUE L204 du 04/08/2007) .

2 - CNIL, Conférence de presse du 09-07-2007, Présentation du 27ème rapport d’activité 2006 p.6

3 - Créé par la directive européenne 95/46 sur le traitement des données à caractère personnel, dans son article 29, le Groupe « de l’article 29 » est composé d'un représentant de l'autorité de contrôle désigné par chaque État membre, d'un représentant de l'autorité ou des autorités créées pour les institutions et organismes communautaires et d'un représentant de la Commission européenne. Il a pour mission de donner des avis sur l’application de la directive.

Directive  95/46  du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Plus d’informations sur le Groupe de l’article 29 

 

 

Les PLus

 

Les PLus

 

 

Jurisprudence

 

  • Commentaires de décisions de la Cour de Justice de l'Union Européenne et d'arrêts du Tribunal,
  • Conclusions des avocats généraux

 

 

Archives de l'ancien site

Articles d'actualité européenne

2001 / 04 - 2013

Brèves d'information

2009 / 04 - 2013

 

ME JOINDRE