PNR- Passenger Name Record

Un exposé de Pauline Solheim et Eleonore Pascal

   Passenger Name Record (PNR) : Il s’agit des informations collectées auprès des passagers aériens au stade de la réservation commerciale.

Elles permettent d’identifier, entre autres : l’itinéraire du déplacement, les vols concernés, le contact à terre du passager (numéro de téléphone au domicile, professionnel, etc.), les tarifs accordés, l’état du paiement effectué, le numéro de carte bancaire du passager, ainsi que les services demandés à bord tels que des préférences alimentaires spécifiques (végétarien, asiatique, cascher, etc.) ou des services liés à l’état de santé du passager.

  La    Directive (UE) 2016/681 du parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière

1.      Pourquoi avoir créer la Directive PNR ?

L’évaluation des données PNR permettrait d’identifier des personnes qui, par le passé, n’ont pas été soupçonnées d’être impliquées dans des actes de terrorisme ou des crimes graves, mais dont l’analyse des données suggère qu’elles pourraient être impliquées dans de tels crimes et, par conséquent, faire l’objet d’une enquête plus approfondie de la part des autorités compétentes.

Il y a bien sur eu des mesures au niveau européen, comme la directive sur les informations préalables sur les passagers (API), le système d’information Schengen (SIS) et le système d’information Schengen de deuxième génération (SIS II) mais ils ne permettent pas aux autorités répressives d’identifier des suspects « inconnus » de la même manière qu’une analyse des données PNR le ferait. C’est pour cela que les données PNR ont été créées.

L’utilisation des PNR n’étaient donc pas réglementée au niveau européen. Certains Etats membres disposaient déjà d’un système PNR comme le Royaume-Uni alors que d’autres ont adopté de nouvelles lois ou sont en train de tester des systèmes de données PNR.

L’idée de la Directive PNR est née dans le but d’harmoniser tout cela et pour obtenir une politique de lutte contre le terrorisme au niveau de l’Union européenne. Cette directive a pris d’avantage d’importance après les attentats de Paris en janvier 2015 selon le rapporteur de la commission des libertés civiles Timothy Kirkhope. Ces évènements permettront une accélération de l’adoption du texte.

2.      Le contenu de la Directive

a.       Le champ d’application

La directive s’appliquera aux « vols extra-UE », mais les États membres pourront étendre cette application aux « vols intra-UE » (c’est-à-dire d’un État membre à l’autre), à condition d’en informer la Commission européenne. Les pays de l’UE pourraient également choisir de collecter et traiter les données PNR des agences de voyage et des tour-opérateurs (opérateurs économiques autres que les transporteurs aériens) étant donné qu’ils gèrent aussi la réservation de vols.

b.       Les fins possibles de traitements

Les données PNR « ne peuvent être traitées que pour la prévention et la détection d’infractions terroristes et d’infractions graves, ainsi que la réalisation d’enquêtes et de poursuites en la matière« . Une liste unique des infractions a été établie, incluant par exemple la traite d’êtres humains, la participation à une organisation criminelle, la cybercriminalité, la pédopornographie, ainsi que le trafic d’armes, de munitions et d’explosifs.

Dans les annexes de la Directive, les différentes infractions sont listées.

c.       Qui gérera les données ?

Des Unités de renseignements sur les passagers devront être créées par les Etats membres pour gérer les données PNR collectées par les transporteurs aériens.

d.       Conservation et masquage des données

Les données PNR devraient être conservées pendant une période de 5 ans. Ces dernières seront non masquées durant les 6 premiers mois. Passé ce délai, elles devront être masquées. « Masquer » signifie que les données personnelles servant à identifier directement le passager sont invisibles pour un utilisateur. Par exemple, les noms, l’adresse… Il faut noter que la période a été rallongée car, à l’origine, la Commission avait demandé dans la proposition initiale une période de 30 jours. Ce rallongement est dû notamment à la volonté qu’avait le Conseil de l’étendre à 2 ans.

e.       Garanties en matière de protection des données

Pour traiter ces données, il faut présenter des garanties en matière de protection des données notamment :

  • Les traitements de données PNR doivent être à des fins limitées comme l’indentification d’un passager dans la commission de l’une des infractions citées précédemment.
  • Les « unités de renseignements sur les passagers » devraient nommer un délégué à la protection des données qui contrôlerait le traitement des données et les garanties, et agirait comme un point de contact unique pour les passagers avec des craintes concernant les données PNR.
  • Tout traitement des données PNR devrait être journalisé ou faire l’objet d’une trace documentaire.
  • Les passagers devraient être informés de manière claire et précise sur la collecte des données PNR et sur leurs droits
  • Il sera explicitement interdit de traiter des données à caractère personnel révélant l’origine raciale ou ethnique de l’individu, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance syndicale, ainsi que les données concernant sa santé, sa vie sexuelle ou son orientation sexuelle.

f.        Clause de révision

Avant le 25 mai 2020, la Commission procèdera au réexamen du texte et présentera un rapport au Parlement européen et au Conseil. Elle fera notamment attention :

  • Au respect des normes applicables de protection des données personnelles
  • A la nécessité et à la proportionnalité de la collecte et du traitement des données PNR au regard de chacune des finalités dans la présente directive
  • De la durée de conservation des données
  • A l’efficacité de l’échange d’informations entre les Etats membres
  • A la qualité des évaluations, y compris en ce qui concerne les informations statistiques recueillies
  • A la nécessité d’inclure ou non l’ensemble des vols intra-UE ou une sélection de ceux-ci
  • A la nécessité d’inclure ou non les opérateurs économiques

A la suite de cela, la Commission pourra soumettre une proposition législative au Parlement et au Conseil en vue de modifier la Directive.

3.      A qui s’applique la Directive ?

Le Directive PNR d’applique aux Etats membres. Le Royaume-Uni et l’Irlande ont décidé de participer à cette Directive.

Cependant le Danemark dispose d’une clause d’exemption « pure et simple » pour la législation liée à la justice et aux affaires intérieures.

       Les accords PNR avec des pays tiers

Suite aux attentats du 11 septembre 2001, de Madrid en 2004 et de Londres en 2005, une nouvelle approche est née en ce qui concerne la politique de sécurité intérieure. Il y eu la mise en place de nouvelles mesures dont notamment la collecte et l’échange de données personnelles. Les Etats-Unis ont voulu adopter des lois sécuritaires basées sur le système du Passenger Name Record. Le Canada et l’Australie ont voulu faire de même. La deuxième étape était de passer des accords avec l’Union européenne. Ces accords seront conclus de 2005 à 2008 puis renégociés pour être définitivement adoptés en 2011 pour l’Australie, 2012 pour les Etats-Unis, tandis que pour le Canada il s’agit d’un projet d’accord de 2014 qui a fait l’objet d’une critique par l’avocat général de la CJUE en septembre de cette année. On se trouve également dans un contexte de lutte contre le terrorisme lors de l’adoption toute récente de la directive PNR en avril 2016. Cette adoption a été réclamée par la France et plusieurs états depuis les attentats de Paris de janvier 2015. Les attentats de Bruxelles par la suite ont aussi contribué à son adoption par les parlementaires.

UE-États-Unis : Le 19 avril 2012, l’accord PNR est conclu entre l’UE et les USA. Il est entré en vigueur le 1er juillet 2012. Il fixe les conditions et couvrent la durée de conservation, l’utilisation et les garanties de protection des données, ainsi que les recours administratifs et judiciaires. Cet accord remplace un autre qui s’applique provisoirement depuis 2007. Les compagnies aériennes doivent envoyer les données personnelles au ministère américain de la sécurité intérieure avant le départ des passagers, pour les vols à destination ou en provenance des USA.

Les données PNR sont conservées pendant 5 ans dans une base active. A la fin des six premiers mois, on dépersonnalise par masquage le nom du passager et ses coordonnées. Au bout des 5 ans, les données basculent dans une base de données passive pendant 10 ans pour la criminalité transnationale et 15 ans pour le terrorisme, ce qui signifie, contrairement à la base données active, que les responsables américains ne pourront y accéder qu’en remplissant des conditions strictes. Dans cette base de données passive, il y a une dépersonnalisation totale des données PNR, donc on ne peut pas identifier le passager. S’il y a un soupçon de terrorisme ou crimes graves transnationaux (3 ans d’emprisonnement minimum selon la loi américaine) concernant cette personne, les données restent dans la base active pendant la durée de l’enquête.

Par rapport aux données sensibles (origine ethnique, croyance religieuse, santé physique ou mentale, orientation sexuelle d’un passager, choix de menu répondant à des exigences religieuses ou aux demandes d’assistance pour des raisons médicales), il est interdit de les utiliser sauf circonstances exceptionnelles lorsque la vie d’une personne est en danger. Ces données seront conservées pendant 30 jours après leur réception et si elles ne font pas l’objet d’une enquête spécifique, elles seront effacées à la fin de cette période.

Les citoyens européens peuvent exercer un recours administratif et judiciaire si leurs données sont utilisées de manière abusive. Si elles sont inexactes, ils peuvent demander l’effacement. Il y a aussi un droit d’accès et de rectification des données.

UE-Australie : le Parlement européen a donné son approbation en octobre 2011 et est entré en vigueur le 1er juin 2012. Cet accord prévoit que les données des passagers aériens sont traitées par le service australien des douanes et de la protection des frontières uniquement dans un objectif de prévention et de détection d’infractions terroristes avec une durée de conservation de 5 ans et demi. Pendant 3 ans, il n’y a que certains fonctionnaires expressément autorisés qui y ont accès, ensuite pendant la fin de la période, c’est-à-dire 2 ans et demi, les éléments d’identification individuelle sont effacés. Selon l’accord, il est interdit d’utiliser des données sensibles tels que le prix du billet d’avion, les modalités de paiement, le numéro de carte bancaire ou les réservations d’hôtels ou de voiture, ainsi que le choix d’un menu en fonction des convictions religieuses ou demande d’assurance pour des raisons médicales. Il existe un droit d’accès, de rectification et d’effacement des données pour les passagers. Les passagers disposent également d’un recours administratif et judiciaire effectifs. Enfin, les données venant de l’UE ne pourront être transférées à des pays tiers que sous certaines conditions (au cas par cas, à certaines autorités publiques seulement, le destinataire doit offrir les mêmes garanties que l’accord, et le destinataire ne transfèrera pas ces données par la suite).

Les accords avec les USA et l’Australie ont été conclus pour une durée de 7 ans renouvelable.

La Nouvelle-Zélande et la Corée du Sud utilisent aussi des données PNR, mais ces pays n’ont pas conclu d’accord avec l’UE. Il est probable que dans les années à venir la tendance se confirme et que de plus en plus de pays adoptent des systèmes PNR. Plusieurs pays ont également adopté une législation PNR à titre expérimental comme l’Afrique du Sud, l’Arabie Saoudite et le Japon.

UE-Canada : le Parlement a saisi la Cour de justice de l’Union européenne en novembre 2014 sur ce dossier, pour que cette dernière détermine si l’accord est conforme aux traités et à la Charte des droits fondamentaux de l’UE. Le vote final du Parlement sera ajourné jusqu’à ce que la Cour ait rendu son avis. L’accord de 2006 entre l’UE et le Canada sur les PNR restera en vigueur jusqu’à ce qu’un nouvel accord puisse le remplacer. Le retard causé en demandant l’avis de la Cour de justice n’entraîne donc pas de problème de sécurité.

L’avocat général Mengozzi de la Cour de justice de l’union européenne a rendu des conclusions le 8 septembre 2016 concernant l’accord de transfert des données des passagers aériens entre l’UE et le Canada signé en 2014. Il estime que l’accord ne peut pas être conclu dans sa forme actuelle pour plusieurs raisons.

Selon lui, certaines dispositions sont contraires à la charte des droits fondamentaux de l’UE, notamment en ce qui concerne la protection de la vie privée et des données à caractère personnel. Il s’agit des dispositions qui

  • Élargissent les possibilités de traitement des données au-delà de ce qui est strictement nécessaire et indépendamment de la finalité (détecter les infractions terroristes)
  • Prévoient le traitement, l’utilisation et la conservation des données sensibles
  • Accordent le droit de divulguer toute information, sans lien avec la finalité et au-delà de ce qui est strictement nécessaire
  • Autorisent la conservation des données pour une durée de 5 ans sans lien avec la finalité
  • Admettent le transfert de données à une autorité publique étrangère sans que les autorités canadiennes ne puissent s’assurer que cette autorité n’aura pas la possibilité de les communiquer à une autre autorité étrangère.

Par contre, selon l’avocat général, cet accord est compatible avec la Charte (donc dispositions conforment à la charte des droits fondamentaux de l’UE) si les catégories de données sont libellées de manière claire et précise (avec exclusion des données sensibles), les infractions sont énumérées de manière exhaustive, l’autorité chargée du traitement est identifiée de manière précise, les catégories de personnes soient non discriminatoire (soupçon raisonnable de participation à une infraction terroriste), il faut citer les raisons objectives permettant une conservation de 5 ans, seuls les fonctionnaires de l’autorité canadienne accèdent à ces données, contrôle d’une autorité indépendante avant de transmettre ces données à d’autres autorités publiques canadiennes ou étrangères, et qu’il y a un droit de rectification et d’accès par les passagers.

L’avocat général suit les conclusions des arrêts Digital Rights Ireland (2014, annule la directive conservation des données, collecte des informations des citoyens sans distinction entre eux notamment) et Schrems (2015, étudiant autrichien qui exerce son droit d’accès aux données personnelles sur Facebook, accès par la NSA), il faut un contrôle strict par rapport au droit à la vie privée et à la protection des données personnelles.

UE-Mexique : Le 14 juillet 2015, les négociations sur un accord UE-Mexique concernant le transfert de données PNR ont été officiellement lancées (le Conseil a donné son mandat à la Commission le 23 juin 2015). Les projets ont été débattus le 15 avril 2015 en session plénière et le 4 juin 2015 en commission des libertés civiles. Tout projet d’accord PNR avec le Mexique devra prendre en compte le contenu de l’avis de la CJE sur l’accord PNR UE-Canada. Une fois conclu, il ne pourrait entrer en vigueur qu’avec l’accord du Parlement européen.

      Conclusion

Les critiques :

  • Durée de conservation plus longue que nécessaire.
  • Tension entre impératif sécuritaire et libertés individuelles.
  • Manque de transparence (Est-ce efficace dans la lutte contre le terrorisme ?)
  • Absence d’uniformité entre les différents accords avec les pays tiers. Ex : durée de conservation et traitement des données sensibles.

      Précisions

API :

Les données PNR sont à distinguer des renseignements préalables concernant les passagers (API – Advance Passenger Information). Les données API sont les informations biographiques extraites de la partie d’un passeport lisible par machine et contenant le nom, le lieu de résidence, le lieu de naissance et la nationalité du titulaire du document. En vertu de la directive API10, les données API sont transmises  aux autorités chargées d’effectuer les contrôles aux frontières uniquement pour les vols entrant sur le territoire de l’UE aux fins de l’amélioration des contrôles aux frontières et de la lutte contre l’immigration illégale. Bien que leur utilisation à des fins répressives soit autorisée par la directive, elle est plutôt considérée comme une exception à la règle. Ces données sont conservées par les États membres pendant 24 heures.

Les données API servent essentiellement à effectuer des contrôles d’identité dans le cadre des contrôles aux frontières et de la gestion des frontières, même si, dans certains cas, les autorités répressives les utilisent également afin d’identifier des suspects et des personnes recherchées. Les données API sont donc principalement utilisées comme un outil de gestion de l’identité. L’utilisation de ces données est de plus en plus répandue dans le monde: plus de 30 pays les utilisent systématiquement et plus de 40 mettent actuellement en place des systèmes API.

Outre la transmission des données API, certains pays exigent des transporteurs qu’ils leur transmettent également les données PNR. Ces dernières servent alors à la lutte contre le terrorisme et les formes graves de criminalité, telles que la traite des êtres humains et le trafic de drogue.

SIS :

Le système d’information Schengen permet aux pays de l’espace Schengen de mettre en place une politique commune de contrôle des entrées dans l’espace Schengen et ainsi faciliter la libre circulation de leurs ressortissants tout en préservant l’ordre et la sécurité publics, y compris la sûreté de l’État, et l’application des dispositions de la Convention Schengen sur la circulation des personnes à l’aide des informations transmises par le SIS.

SIS II :

Le système d’information Schengen de deuxième génération («SIS II») est une grande base de données qui contient des informations sur des personnes recherchées ou disparues, des personnes sous surveillance policière et des personnes non ressortissantes d’un État membre de l’espace Schengen auxquelles l’entrée sur le territoire Schengen est interdite, ainsi que des informations sur des véhicules et objets volés ou disparus, comme des documents d’identité, des certificats d’immatriculation de véhicules et des plaques d’immatriculation de véhicules. La finalité principale de la base de données est d’assurer un niveau de sécurité élevé au sein des États Schengen en l’absence de contrôles aux frontières intérieures, en permettant aux autorités nationales compétentes, comme les forces de police et les gardes-frontières, de saisir et de consulter des signalements concernant des personnes ou des objets.

0 réponses

Répondre

Want to join the discussion?
Feel free to contribute!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *