Transfert des données personnelles des voyageurs allant aux Etats-Unis : l’Europe durcit sa position
Publié le 23/09/2003 par Etienne Wery , Gilone dUdekem
Depuis le 5 mars 2003, les autorités américaines ont lancé un ultimatum aux compagnies aériennes, leur imposant de communiquer aux services américains de douane et de sécurité les données personnelles détenues sur les voyageurs allant ou transitant par les Etats-Unis. En cas d’omission de ces derniers, de grandes sanctions étaient applicables pouvant aller jusqu’à l’interdiction…
Depuis le 5 mars 2003, les autorités américaines ont lancé un ultimatum aux compagnies aériennes, leur imposant de communiquer aux services américains de douane et de sécurité les données personnelles détenues sur les voyageurs allant ou transitant par les Etats-Unis. En cas d’omission de ces derniers, de grandes sanctions étaient applicables pouvant aller jusqu’à l’interdiction d’atterrir sur le sol américain.
Cette mesure s’inscrit dans le cadre de la lutte contre le terrorisme, et plus spécialement dans l’Aviation and Transportation Security Act du 19 novembre 2001 et le Enhanced Border Security and Visa Entry Reform Act du 5 mai 2002. Ces lois permettent un accès direct aux systèmes de réservation électroniques et plus particulièrement au Passenger Name Record (PNR). Le PNR est le nom générique des fichiers créés pour chaque voyage réservé par un passager. Ces fichiers sont stockés sur les bases de données de réservation et de contrôle des départs des compagnies aériennes, et permettent à tous les intervenants du secteur aérien (depuis l’agence de voyage jusqu’aux agents d’assistance en escale dans les aéroports en passant par les systèmes informatisés de réservation (SIR) et les compagnies aériennes) de reconnaître chaque passager et d’avoir accès à toutes les informations pertinentes concernant son voyage : vols d’aller et de retour, vols de correspondance (le cas échéant) services spéciaux requis à bord, contacts à terre des passagers, tarifs accordés, paiement, réservations d’hôtel et de voiture, types de repas pris, santé, etc.
Techniquement, cette exigence est simple à mettre en place dans le cadre des systèmes internationaux de réservation (Amadeus, Sabre, Galileo ou Worldspan). Le système fonctionne et s’appelle CAPPS II (Computer Assisted Passenger Prescreening System).
Politiquement, c’est assez simple aussi. Le Chief Privacy Officer, Nuala O’Connor Kelly du DHS (Department of Homeland Security) et l’Administrator Admiral, James Loy du TSA (Transportation Security Administration), ont rappelé que le but de CAPPS II est la sécurité aérienne, et plus spécialement empêcher les terroristes et les dangereux fugitifs de venir aux Etats-Unis ou de réitérer leurs tristes exploits des Twins Towers.
Juridiquement, c’est une autre affaire …
Cette mesure unilatérale entre en effet en conflit avec la directive sur la protection des données personnelles.
En effet, l’article 25 de cette directive (directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995) prévoit que les données à caractère personnel ne peuvent pas être transférées vers un pays tiers, sauf si le pays en question assure un niveau de protection adéquat. Très peu de pays satisfont à cette exigence : le Canada, la Suisse, l’Argentine, et la Hongrie ont été une fois pour toute « aggréés » en cette qualité conformément à la directive qui prévoit que la Commission peut adopter une décision confirmant que le niveau de protection est adéquat dans un pays donné, en raison de sa législation interne ou de ses engagements internationaux. Les Etats-Unis sont agréés, dans une moindre mesure, dans le cadre des Safe Harbour Principles dont nous avons déjà parlé plusieurs fois.
Le 24 octobre 2002, le Groupe 29, qui regroupe les autorités de contrôle des quinze Etats membres, demanda aux Etats membres et à la Commission européenne de prendre en charge cette question. Et il les invita à négocier avec les autorités américaines sur « une clarification et une définition des objectifs, des finalités, des destinataires ainsi que des catégories de données pouvant être transmises (…) ainsi que sur les conditions et garanties entourant le traitement des données à caractère personnel, en particulier leur partage entre les autorités fédérales américaines ». En effet, toutes les données doivent être transmises à une base de données centralisée exploitée conjointement par les douanes US et l’Immigration and Naturalization Service. Les données sont alors partagées avec d’autres autorités fédérales et ne bénéficient plus d’une protection spécifique.
Le 18 février dernier, le directeur général pour les relations extérieures de la Commission européenne, Guy Legras, et le représentant du service américain des douanes, Douglas Browning, se sont rencontrés à Bruxelles et ont abouti à une déclaration commune. Les Etats-Unis ont, à cette occasion, accepté de ne pas traiter les données qui ne concernent pas leur territoire, de ne pas utiliser les informations sensibles et de n’utiliser les données des PNR qu’à l’unique fin de la prévention et de la lutte contre le terrorisme et d’autres crimes graves.
Aujourd’hui, les négociations sont toujours en cours. A l’issue de ce processus, la Commission devrait finaliser une décision légalisant cet atypique flux transfrontières de données.
Toutefois, le Groupe 29 n’est pas satisfait :
- Il souhaiterait restreindre les finalités de ce transfert à la lutte contre le terrorisme ;
- Il estime que le champ des données actuellement transmises va au-delà de ce qui pourrait être considéré comme adéquat, pertinent et non excessif, au regard de la directive ;
- Les autorités américaines souhaiteraient stocker ces informations personnelles pendant 7 à 8 ans alors que les instances européennes considèrent que quelques semaines sont suffisantes ;
- Les droits d’information, d’accès et de rectification des personnes concernées laissent également à désirer ;
- Le contrôle de l’utilisation des données une fois transmises aux Etats-Unis n’est pas non plus résolu.
Mise sous pression, la Commission a rejeté au début du mois le compromis présenté les Etats-Unis. Elle désire obtenir des concessions renforçant la protection de la vie privée et insiste sur la nécessité de limiter les traitements à la finalité de la lutte contre le terrorisme. Autrement dit-elle, les personnes enquêtant sur d’autres crimes, même graves, pourraient également avoir accès à ces données, ce qui est pour la Commission totalement inconcevable face aux dispositions de la directive.
Prises au milieu de ce conflit, on trouve les compagnies aériennes. Vis-à-vis d’elles, la mesures est en vigueur depuis le 5 mars 2003 e elles subissent des pressions énormes de la part des autorités US. C’est ainsi que le transporteur finlandais Finnair vient de commencer le transfert des données. Il justifie l’envoi en obtenant le consentement de ses passagers lors de l’achat du billet … mais refuse de délivrer un billet à ceux qui n’acceptent pas …
Plus d’infos ?
En faisant une recherche sur ce site, sur le mot-clef PNR ou Safe Harbor Principles.