Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Les personnes allant aux USA seront bel et bien fichées : l’Europe et les Etats-Unis proches d’un accord

Publié le par

L’Europe et les Etats-Unis devraient clore leur différend dans la question très délicate du transfert aux autorités américaines des informations personnelles relatives aux passagers des compagnies aériennes voyageant vers les Etats-Unis. Historique Les américains veulent avoir accès direct aux systèmes de réservation électroniques et plus particulièrement au Passenger Name Record (PNR). Le PNR est le…

L’Europe et les Etats-Unis devraient clore leur différend dans la question très délicate du transfert aux autorités américaines des informations personnelles relatives aux passagers des compagnies aériennes voyageant vers les Etats-Unis.

Historique

Les américains veulent avoir accès direct aux systèmes de réservation électroniques et plus particulièrement au Passenger Name Record (PNR). Le PNR est le nom générique des fichiers créés pour chaque voyage réservé par un passager. Ces fichiers sont stockés sur les bases de données de réservation et de contrôle des départs des compagnies aériennes, et permettent à tous les intervenants du secteur aérien (depuis l’agence de voyage jusqu’aux agents d’assistance en escale dans les aéroports en passant par les systèmes informatisés de réservation (SIR) et les compagnies aériennes) de reconnaître chaque passager et d’avoir accès à toutes les informations pertinentes concernant son voyage : vols d’aller et de retour, vols de correspondance (le cas échéant) services spéciaux requis à bord, contacts à terre des passagers, tarifs accordés, paiement, réservations d’hôtel et de voiture, types de repas pris, santé, etc.

Cette demande s’inscrit dans le cadre de la lutte contre le terrorisme, et a déjà été traduite en loi : l’Aviation and Transportation Security Act du 19 novembre 2001 et le Enhanced Border Security and Visa Entry Reform Act du 5 mai 2002 permettent en effet un accès direct aux PNR. Techniquement, cette exigence est simple à mettre en place dans le cadre des systèmes internationaux de réservation (Amadeus, Sabre, Galileo ou Worldspan). Le système fonctionne et s’appelle CAPPS II (Computer Assisted Passenger Prescreening System). Le Chief Privacy Officer, Nuala O’Connor Kelly du DHS (Department of Homeland Security) et l’Administrator Admiral, James Loy du TSA (Transportation Security Administration), ont rappelé que le but de CAPPS II est la sécurité aérienne, et plus spécialement empêcher les terroristes et les dangereux fugitifs de venir aux Etats-Unis ou de réitérer leurs tristes exploits des Twins Towers.

Les européens ont tout de suite été sceptiques. C’est que la mesure n’est pas populaire, et qu’en plus l’article 25 de la directive sur les données à caractère personnel (directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995) prévoit que les données à caractère personnel ne peuvent être transférées vers un pays tiers que si le pays en question assure un niveau de protection adéquat.

La non transmission des informations requises ou la transmission d’informations erronées ou incomplètes est assortie de lourdes sanctions, notamment la privation des droits d’atterrissage et des amendes pécuniaires très dissuasives. En réalité, quand certaines compagnies ont fait de la résistance et ont tenté de s’opposer au système, leurs passagers ont comme par hasard subi des heures de contrôles aux frontières alors que les passagers des compagnies plus conciliantes passaient sans encombre.

Le 5 mars 2003, les autorités américaines ont lancé un ultimatum aux compagnies aériennes, leur imposant de communiquer aux services américains de douane et de sécurité les données personnelles détenues sur les voyageurs allant ou transitant par les Etats-Unis, et les menaçant d’interdiction d’atterrir sur le sol américain.

Il était urgent de trouver un accord. C’est la Commission européenne qui l’a négocié. Le paragraphe 6 de l’article 25 de la directive sur les données à caractère personnel prévoit en effet que la Commission peut adopter une décision confirmant que le niveau de protection est adéquat dans un pays donné, en raison de sa législation interne ou de ses engagements internationaux. La Commission est donc compétente pour les questions de relations extérieures soulevées dans le domaine des données à caractère personnel. La Commission a également des responsabilités directes en application du règlement sur les systèmes informatisés de réservation.

Le différend bientôt cloturé

Après des mois de discussion, un accord semble avoir trouvé. Le Commissaire Bolkenstein en a dressé les grandes lignes lors d’un discours devant le parlement européen ce 16 décembre 2004. Les dernières concessions américaines ont été jugées suffisantes et sont résumées comme suit :

 

Firstly, clear limits on the amount of data to be transferred with a closed list of 34 elements. Furthermore, the US has undertaken not to require airlines to collect any data where any of these 34 elements would be empty. In practice, most PNRs consist of no more than 10-15 items.

Secondly, a significant movement on the length of data storage. The US has agreed to cut its initially proposed fifty year period to 3 ½ years. This is related to the expiry of the whole arrangement after 3 ½ years. We have thus managed to link the lifetime of the agreement with the duration of the retention period. This sunset clause will give us the opportunity to revisit all the questions and decide in the light of experience what should continue and what not. Hopefully, the EU will have developed by then its own policy on the use of PNR for law enforcement purposes. The US debate on data privacy will also have evolved.

The third important success we achieved is that the arrangement will not cover the US Computer Assisted Passenger Pre-Screening System (CAPPS II). The latter will only be considered in a second round of discussions yet to come. In any case, such discussions can only conclude once Congress’ privacy concerns have been met, and so far they have not.

Fourthly, we obtained stronger guarantees with respect to overall US compliance. The US finally accepted after refusing it earlier in our talks an important safeguard in the form of a joint review, to be carried out together with EU authorities at least every year. We have thus secured a way to ascertain how well the US implements its Undertakings.

The fifth useful development regards redress for individual EU passengers. Passengers whose complaints to the Department of Homeland Security have not been satisfactorily resolved by the DHS or its Privacy Office. Parliament has rightly so stressed this issue in its October Resolution. The US is now ready to recognise the right of EU data protection authorities to represent EU citizens.

Finally, all categories of sensitive data will be deleted, and there will be no bulk sharing of data with other agencies.

 

L’état actuel du dossier

En même temps qu’il présentait au Parlement européen l’état actuel du dossier, le Commissaire a publié une comunication de la Commission, datée du 16 décembre, faisant le point et recommandant d’adopter le cadre ainsi renégocié.

Les conclusions de la recommandation sont les suivantes :

  1. Étant donné la complexité et la nature pluridimensionnelle des questions en jeu, la Commission suit une démarche globale concernant le transfert des données PNR, qui réunit les différentes composantes exposées plus haut.
  2. Elle donne la priorité à l’établissement rapide d’un cadre juridiquement sûr pour les transferts des données PNR vers le ministère de la sécurité intérieure des États- Unis (Bureau des douanes et de la protection des frontières).
  3. Sur la base des résultats des discussions avec le gouvernement des États-Unis et du paquet de mesures faisant partie de sa démarche globale, la Commission propose d’établir ce cadre juridique sous la forme d’un constat du niveau adéquat de la protection des données personnelles en application de l’article 25 paragraphe 6 de la Directive protection des données, en combinaison avec un accord international avec les Etats-Unis basé sur l’article 300 paragraphe 3, premier alinéa du Traité. Le Parlement européen sera consulté sur les deux éléments de cette solution, avec une date limite appropriée dans chaque cas.
  4. La Commission poursuivra également les discussions avec d’autres pays tiers afin de mettre en place, dans les meilleurs délais, des solutions appropriées pour faire disparaître les éventuelles incompatibilités juridiques.
  5. La Commission poursuivra résolument sa coopération avec les compagnies aériennes et leurs organisations représentatives, ainsi qu’avec les SIR, afin que les passagers reçoivent, avant d’acheter leurs billets d’avion, une information complète et exacte sur les utilisations qui sont faites de leurs données PNR et puissent ainsi être à même de faire un choix éclairé. La Commission incitera fortement les opérateurs à obtenir systématiquement le consentement des passagers au transfert de leurs données, dans les limites de ce qui est praticable, mais elle estime nécessaire d’établir un cadre juridique ne reposant pas uniquement sur le consentement. Elle rappelle son droit d’initiative pour proposer des dispositions régissant le consentement au niveau de l’UE si les opérateurs ne réussissaient pas à mettre en œuvre des solutions efficaces dans un délai raisonnable.
  6. La Commission réaffirme qu’elle soutient fermement la mise en place rapide de la technologie « push » dotée des filtres appropriés pour la transmission de données PNR à des pays tiers. Elle estime qu’une démarche centralisée ou groupée possède de nets avantages par rapport à une démarche procédant par des contacts séparés avec chaque compagnie aérienne, tant du point de vue de l’efficacité que des coûts. Elle continuera d’étudier en priorité les options qui s’offrent avec l’industrie.Si cela est nécessaire, elle est disposée à prendre les initiatives appropriées pour assurer le financement, sur les ressources existantes du budget communautaire, d’une aide à la mise au point d’un tel système. La Commission s’est fixé pour objectif de trouver des solutions avant le milieu de l’année 2004 au plus tard. Une option serait de mettre en œuvre un système « push » dans le cadre d’une approche de l’UE concernant l’utilisation des données des voyageurs pour des fins de la sécurité des frontières et de l’aviation.

    La Commission poursuivra en priorité les discussions qu’elle a entamées avec les États membres et d’autres parties intéressées, par exemple Europol, en vue de formuler, vers le milieu de 2004, une première proposition définissant une démarche de l’Union concernant l’utilisation des données des passagers pour des impératifs de sécurité des frontières et de l’aviation et d’autres fins répressives. Un tel cadre politique devra établir un équilibre entre les préoccupations sécuritaires d’une part et les préoccupations intéressant la protection des données et les autres libertés civiles d’autre part.

    La Commission lance également une initiative internationale concernant les transferts de données PNR sous les auspices de l’OACI. Une proposition dans ce sens est sur le point d’être transmise au Conseil.

Plus d’infos ?

En lisant la recommandation émise par l’exécutif européen, disponible sur notre site.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK