Données des dossiers passagers - Définition
La liste des auteurs de cet article est disponible ici.
Processus de création
Le PNR initial est créé dans la base de données du premier prestataire de service contacté par le voyageur. Dans de nombreux cas, surtout s'il s'agit d'une agence, il utilisera l'un des systèmes mondiaux de réservation (en:GDS - Global Distribution Systems) tel que Amadeus, Sabre, Worldspan ou Galileo. L'enregistrement est identifié de façon unique par un champ alphanumérique (équivalent à un numéro de réservation ou de dossier). En principe cet identifiant, indispensable pour le bon fonctionnement d'une base de données, est interne au SGBD (système de gestion de base de données). La norme d'échange créée par l'IATA permet de le transmettre du système initial vers les systèmes secondaires qui contiennent les réservations d'autres prestataires mais permet aussi à ces systèmes secondaires de renvoyer toute modification vers le système initial.
État du droit dans l'Union européenne
L'accès au PNR est régulé dans l'Union européenne par la loi européenne sur la protection des données. Selon les règles de l'OCDE de 1980 concernant la protection de la vie privée, et la Directive de 1995 de l'UE sur la protection des données, les données PNR ne peuvent être transférées qu'à des États qui disposent de règles de la protection de la vie privée similaires. De plus, les agences de sécurité n'ont qu'un droit d'accès au cas par cas à ces données, sur le fondement de soupçons étayés.
La Directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers, adoptée sans l'avis du Parlement européen, qui se fonde sur l'accord de Schengen, règle aussi les échanges de données PNR, dans un but officiel de lutte contre le terrorisme d'une part, et d'autre part contre l'immigration illégale, en autorisant « l'utilisation de ces données comme élément de preuve dans des procédures visant à l'application des lois et des règlements sur l'entrée et l'immigration, notamment des dispositions relatives à la protection de l'ordre public et de la sécurité nationale » (art. 12).
Jusqu'à présent, seul le Royaume-Uni a mis en place un système complet de données PNR. Bien que la Commission européenne ait proposé la création d'un tel système, au niveau européen, « Tant le contrôleur européen pour la protection des données (avis du 1er mai 2008), que l'agence des droits fondamentaux (avis du 3 décembre 2008) et le groupe de l'article 29 sur la protection des données (avis du 5 décembre 2007) ont en revanche émis des réserves sur la nécessité d'un tel système. Dans une résolution adoptée le 20 novembre 2008, le Parlement européen a reconnu que la collecte et le traitement de données pouvaient être un outil utile pour lutter contre le terrorisme. Mais il a exprimé de fortes réserves sur la nécessité et la valeur ajoutée de la proposition. ».
La résolution du 20 novembre 2008 du Parlement européen a été adoptée par le Sénat français le 30 mai 2009.
Avis du G29 de 2007
En novembre 2007, peu de temps après la signature d'un accord entre l'UE et les États-Unis concernant l'échange des données PNR (voir ci-dessous), la Commission européenne a déposé un projet-cadre pour une nouvelle directive, qui s'alignait fortement sur l'accord de juillet 2007 avec Washington. Le G29, équivalent européen de la CNIL, a rendu son rapport sur cette décision-cadre en décembre 2007, critiquant notamment le manque de dispositions visant à assurer la sécurité des données personnelles quant à la vie privée.
Le G29 signale en particulier que: « Dans sa rédaction actuelle, la proposition de décision-cadre prévoit la collecte d’un grand nombre de données à caractère personnel relatives aux passagers aériens entrant ou sortant de l’UE, indépendamment du fait qu'ils soient soupçonnés ou innocents. Ces données seront ensuite conservées pendant une durée de treize ans, en vue d’un éventuel usage ultérieur, permettant ainsi le profilage des voyageurs. Cette proposition s’ajoute au relevé des empreintes digitales de tous les citoyens demandant un passeport, et à la conservation de toutes les données liées au trafic des télécommunications au sein de l’UE. (...) Un régime PNR européen ne saurait aboutir à la surveillance généralisée de tous les passagers ».
Le G29 note en outre que les États-Unis « n’ont jamais prouvé de façon concluante que la quantité considérable de données passagers collectée est véritablement nécessaire à la lutte contre le terrorisme et la grande criminalité (...) Les seules informations fondées disponibles à cette fin indiquent que les données API [Advanced Passengers System] sont davantage utilisées que les données PNR. » Dès lors, le G29 remarque qu'il ne voit pas quel besoin les États ont d'enregistrer, outre les données API, les données PNR, d'autant plus que l'UE dispose déjà du Système d'information Schengen (SIS) et prépare le système européen d'identification des visas (Visa Information System – VIS), une base de données biométriques concernant les demandeurs de visa pour l'espace Schengen.
Concernant l'échange d'informations avec des États tiers, le G29 « [s'inquiète] par ailleurs de la référence à des accords internationaux faite à l’article 8, paragraphe 2, et des conséquences de la réciprocité automatique avec les pays tiers utilisant un système PNR. Il faut se rendre compte que l’existence d’un régime PNR européen pourrait inciter des régimes non démocratiques ou corrompus à exiger la communication de PNR sur la base du principe de réciprocité. Il convient dès lors de se demander si les conséquences de cette réciprocité ont été suffisamment étudiées (par ex. la détention d'informations relatives aux cartes de crédit, qui font souvent parties des données PNR, par des fonctionnaires d’un État incapable de supprimer la corruption pourrait avoir des conséquences graves). D’autre part, l’acception du terme «lutte contre le terrorisme» peut, dans certains États, être extrêmement différente de celle admise dans l’UE. La réciprocité pourrait ainsi permettre à une dictature d’établir une évaluation des risques présentés par les dissidents, à partir des données PNR ».
Législation française
En France, la loi du 23 janvier 2006 relative à la lutte contre le terrorisme a contraint les compagnies ferroviaires, aériennes, maritimes à transmettre les données PNR à la police et à la gendarmerie, données qui peuvent être comparées avec le Fichier des personnes recherchées (FPR) ainsi qu'avec le Système d'information Schengen (SIS).
En vertu de l'art. 7 de la loi du 23 janvier 2006, un arrêté du 28 janvier 2009 a prorogé le Fichier des passagers aériens, un système de traitement automatisé de données à caractère personnel concernant « les provenances et les destinations, situées dans des États n'appartenant pas à l'Union européenne, des passagers aériens ». Les données sont conservées cinq ans, sauf celles concernant le FPR ou le SIS, qui ne seraient conservées que 24 heures. Par ailleurs, ce nouveau fichier ayant une double finalité de prévention et répression d'actes de terrorisme d'une part, et d'autre part de « lutte contre l'immigration clandestine », ces données ne peuvent être consultées, dans ce dernier cas, « que dans les vingt-quatre heures qui suivent leur transmission ».
Législation britannique
Au Royaume-Uni, l'Immigration, Asylum and Nationality Act 2006 (IANA) va plus loin que la décision-cadre du Conseil européen concernant les données PNR, autorisant leur collecte et usage pour plus d'organismes, y compris ceux en charge du prélèvement fiscal. De plus, la loi ne s'applique pas qu'aux transporteurs aériens, comme le fait la décision-cadre, mais à tous les transporteurs quels qu'ils soient
