transports |
03/08/2007
Les négociations entre les Etats-Unis et l’Europe ont mis un terme à plusieurs années d’incertitude quant aux conditions dans lesquelles les autorités américaines accèdent aux données des passagers aériens européens (« données PNR »). L’accord, qui vient d’être conclu entre les Etats-Unis et l’UE, revient sur de nombreuses garanties défendues par les CNIL européennes.
Les données PNR («Passenger Name Record») sont des informations collectées auprès des passagers aériens au stade de la réservation commerciale. Elles permettent d’identifier l’itinéraire du déplacement, les vols concernés, le contact à terre du passager (numéro de téléphone au domicile, professionnel, etc.), les tarifs accordés, le numéro de carte bancaire du passager, ainsi que les services demandés à bord tels que des exigences alimentaires spécifiques (végétarien, asiatique, cascher, etc.) ou des services liés à l’état de santé du passager.
Peu après les attentats du 11 septembre, les Etats-Unis ont mis en œuvre de nouvelles dispositions en matière de sécurité de l’aviation et du transport, et des conditions d’entrée sur le territoire américain. Dans ce cadre, les compagnies aériennes ont l’obligation de communiquer aux services des douanes et de sécurité américains les données PNR de leurs passagers à destination des Etats-Unis le non respect de ces obligations est sanctionné par des contrôles renforcés, d’amendes et du refus du droit d’atterrir. L’accès aux données PNR détenues par les compagnies aériennes européennes est actuellement régi par un accord international transitoire, venant à expiration le 31 juillet prochain.
Le nouvel accord, qui devrait entrer en vigueur au 1er Août 2007, sera composé de l’accord proprement dit, et d’une lettre du ministère américain de l’intérieur (DHS) qui précisera certains points de l’accord. Une fois ratifié par les Parlements nationaux, cet accord transatlantique entrera en vigueur pour une durée de 7 ans.
Les négociations sur cet accord ont été marquées par des exigences américaines toujours croissantes. Les craintes exprimées à de nombreuses reprises par la CNIL et ses homologues européens, réunis au sein du groupe dit « de l’article 29 », auprès des gouvernements des pays de l’UE et de la Commission européenne se sont malheureusement confirmées.
Le nouvel accord devrait en effet consacrer les dispositions suivantes:
Le nombre d’autorités américaines qui pourront accéder aux données PNR sur le territoire américain a été étendu;
Les finalités d’utilisation des données PNR pourront varier en cas de modification unilatérale de leur législation par les Etats-Unis;
La décision éventuelle de transférer des données PNR européennes vers d’autres pays tiers sera prise de manière unilatérale par les Etats-Unis, sans consultation préalable des autorités européennes;
Il est désormais possible aux autorités américaines, « en cas de nécessité », d’avoir accès à des données dites « sensibles », c’est à dire pouvant révéler l’origine raciale, ethnique, les opinions politiques, l’état de santé des personnes, malgré un filtrage initialement prévu;
Les données seront conservées non plus 3 ans ½ mais 15 ans, sous forme d’une conservation « active » pendant 7 ans et « passive » pendant 8 ans, sans garantie que les fichiers non consultés soient définitivement détruits;
Le passage du mode « pull » actuellement en vigueur (c’est à dire l’accès direct par les autorités américaines aux données détenues par les compagnies aériennes) au mode « push » (c’est à dire l’envoi des données par les compagnies aériennes, ne permettant plus d’accès direct aux autorités américaines) ne sera réalisé au 1er janvier 2008 que si les conditions techniques de ce passage paraissent acceptables aux Etats-Unis;
L’évaluation de l’application de l’accord (« review ») perd son caractère annuel obligatoire. Seul le commissaire européen de la Direction Générale Justice-Liberté-Sécurité sera en charge de cette inspection, sans que les autorités nationales de protection des données y soient clairement associées;
Les autorités américaines auront la faculté de décider de manière unilatérale s’il sera répondu favorablement aux demandes des passagers européens d'accès et de rectification aux données les concernant détenues par les autorités américaines.
Le nouvel accord met certes un terme à la période d’incertitude ouverte par la décision de la Cour de Justice des Communautés Européennes du 30 mai 2006 annulant le précédent accord conclu le 28 mai 2004.
Cependant, d’après les autorités européennes de protection des données, le Parlement européen et le Contrôleur européen, cet accord est loin d’offrir un niveau de protection adéquat aux données PNR transmises. On ne peut que regretter l’insuffisance de dispositions claires et proportionnées relatives au partage d’informations, de conservation, d’envois supplémentaires de données, de contrôle par les autorités de protection des données, et s’inquiéter de ce que la mise en œuvre de nombreuses dispositions soient soumises à la discrétion des Etats-Unis.