Le Passenger Name Record : sécurité nationale et européenne versus protection des données à caractère personnel

Le 14 avril 2016, jour de l’approbation du PNR par le Parlement européen, les députés européens ont voté l’adoption du Règlement européen sur la protection des données à caractère personnel.

D’un côté, une directive qui vise à renforcer la sécurité nationale, de l’autre un Règlement qui vise à renforcer les droits des personnes en matière de données personnelles. Antinomique ? Un peu, mais pas si surprenant que ça.

Pourquoi pas "si surprenant que ça"?

La sécurité nationale et internationale versus la protection des données à caractère personnel et le droit au respect de la vie privée est un débat de longue date.

Les attentats de Paris et de Bruxelles ou encore la tuerie de San Bernardino aux États-Unis poussent les pays Occidentaux à adopter des mesures toujours plus sécuritaires.

Cependant, certaines affaires, comme la très emblématique affaire Snowden en 2012 où un ancien employé de la CIA et de la NSA a révélé au grand jour la surveillance massive opérée par les services de renseignement américain, indignent et interrogent : jusqu’où peut-on aller en matière de sécurité nationale ?

Au sein du Parlement européen, cette dernière question divise : certains députés sont des fervents défenseurs de la sécurité nationale, d’autres des fervents défenseurs des droits des personnes.

Or, il semble qu’en adoptant le même jour ces deux textes européens, il y a eu de la part des autorités européennes, une volonté de "satisfaire", de "contenter" l’ensemble des députés.

Le PNR : qu’est ce que c’est exactement ?

Le PNR contraint les compagnies aériennes à fournir aux autorités nationales les données des passagers pour tous les vols d’un État tiers vers l’Union européenne, de l’Union européenne vers un État tiers mais également d’un État membre vers un autre État membre (sous condition d’en informer la Commission européenne), et cela « pour la prévention et la détection d’infractions terroristes et de formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière ».[1]

Les autorités des États membres pourront également collecter ces données auprès des agences de voyage et des tours opérateurs qui gèrent les réservations.

Il convient de noter que le fichage des passagers des vols aériens n’est pas nouveau. Certains États européens ont déjà mis en place leurs propres « fiches ». De même, après le 11 septembre 2001, les États-Unis ont établi le fichage automatique de tout passager aérien transitant, survolant ou entrant sur le sol américain.

Quelles données seront collectées ? 

L’identité du passager, son numéro de téléphone, son adresse de courriel, la manière dont il a payé son billet, le numéro de celui-ci, le numéro de siège, ses bagages, ou encore son éventuel programme de fidélité ou « voyageur fréquent »

Le PNR et les données personnelles : quelles conséquences ?

Contraindre les compagnies aériennes à communiquer les données des passagers pour tous les vols extra ou intra UE n’est pas sans conséquences sur les données personnelles. Cela implique un traitement de données important puisqu’il s’agit d’une collecte massive d’informations à caractère personnel.

Il existe plusieurs « risques » inhérents à un traitement massif de données à caractère personnel par les autorités nationales :

  • Le risque de collecter plus d’informations que nécessaires,
  • Un éloignement progressif de la finalité poursuivie. Initialement la finalité poursuivie est la lutte contre le terrorisme et la grande criminalité : il ne faudrait donc pas que le fichage des passagers soit utilisé à d’autres fins que celles-ci. Ex. : des délits mineurs.
  • Une durée de conservation non limitée,
  • Une transmission des données à caractère personnel entre États-membres qui deviendrait systématique.
Les garanties avancées

Certaines garanties sur la protection des données personnelles ont été apportées, à savoir notamment :

  • L’obligation pour chaque unité nationale de renseignement sur les passagers de nommer un « délégué à la protection des données » afin de contrôler le traitement des données PNR et de mettre en œuvre les garanties correspondantes.[2]
  • L’accès aux données PNR sera octroyé dans des conditions très strictes et limitées après la période de conservation initiale.[3]
  • Tout traitement des données PNR devra être journalisé ou faire l’objet d’une trace documentaire.[4]
  • La durée de conservation des données sera de cinq ans mais au bout de six mois celles-ci seront « masquées », c’est à dire que le nom, prénom et l’adresse de la personne seront supprimées.[5] Dans tous les cas après cinq années, les données seront effacées.
  • Les échanges, transferts de données à caractère personnel entre États-membres ne pourra se faire que dans des cas stricts, c’est à dire si la personne concernée présente véritablement un danger pour la sécurité européenne.[6]
  • Il sera explicitement interdit de traiter des données à caractère personnel révélant l'origine raciale ou ethnique de l'individu, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance syndicale, ainsi que les données concernant sa santé, sa vie sexuelle ou son orientation sexuelle.[7] (conformément à l’article 9 du nouveau règlement européen – version d’avril 2016).

Il y a eu 461 voix pour l’adoption, 179 voix contre et 9 abstentions. Les députés les plus réfractaires ont souligné la faible efficacité de ce système et pointé du doigt le fait que les attentats de Paris ou Bruxelles n’auraient certainement pas été évités avec le PNR… 

Quoiqu’il en soit, la proposition de Directive doit à présent être approuvée par le Conseil de l’Union européenne. Dans la mesure où il est question ici d’une directive, les États devront transposer ce texte au sein de leur législation nationale : ils auront deux ans pour le faire.

  


[1] Le Parlement européen, « Le Parlement en faveur de la directive européenne sur l'utilisation des dossiers passagers (PNR) », le 14 avril 2016, en ligne : < http://www.europarl.europa.eu/news/fr/news-room/20160407IPR21775/Le-Parlement-en-faveur-de-la-directive-europ%C3%A9enne-sur-les-PNR > (consulté le 18 avril 2016). 

[2] Id.

[3] Id.

[4] Id.

[5] Id.

[6] Id.

[7] Id.

Etats-Unis / Législation