Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Vous voyagez vers les USA ? Merci de laisser votre vie privée au guichet d’enregistrement

Publié le par

« PNR », ou « Passenger Name record ». Derrière ce terme barbare se cache une réalité quotidienne de l’industrie aéronautique : le PNR est le nom générique des fichiers créés pour chaque voyage réservé par un passager. Ces fichiers sont stockés sur les bases de données de réservation et de contrôle des départs des…

« PNR », ou « Passenger Name record ». Derrière ce terme barbare se cache une réalité quotidienne de l’industrie aéronautique : le PNR est le nom générique des fichiers créés pour chaque voyage réservé par un passager.

Ces fichiers sont stockés sur les bases de données de réservation et de contrôle des départs des compagnies aériennes, et permettent à tous les intervenants du secteur aérien (depuis l’agence de voyage jusqu’aux agents d’assistance en escale dans les aéroports en passant par les systèmes informatisés de réservation (SIR) et les compagnies aériennes) de reconnaître chaque passager et d’avoir accès à toutes les informations pertinentes concernant son voyage: vols d’aller et de retour, vols de correspondance (le cas échéant) services spéciaux requis à bord (menus spéciaux, fumeur ou non, etc.), etc. Le nombre et la nature des champs d’information dans un système PNR varient d’une compagnie aérienne à une autre. Il existe environ 20 à 25 champs possibles, dont certains comprennent des sous-sections, soit un total d’une soixantaine de champs et sous-champs. Inutile de dire qu’il s’agit d’une mine d’information contenant des données à caractère personnel sur chaque personne ayant pris l’avion un jour dans sa vie.

Que veulent les USA dans le cadre de la lutte contre le terrorisme ?

Dans la foulée des attentats du 11 septembre 2001, les États-Unis ont adopté le 19 novembre 2001, l’Aviation and Transportation Security Act imposant aux compagnies aériennes opérant des vols à destination de leur territoire, de leur transférer des données relatives aux passagers et aux membres d’équipage (Passenger Manifest Information). Le transfert doit être effectué par voie électronique et terminé avant le décollage de l’avion, au plus tard dans les 15 minutes après le départ, pour les passagers. Bien que le destinataire des données transmises aux États-Unis soit le « Commissioner of Customs », les données seront partagées entre les autorités fédérales américaines. Le but de la transmission n’est pas limité à la sécurité aérienne mais concerne l’ordre public américain.

Le 14 mai 2002, les États-Unis ont adopté une autre loi visant à améliorer la sécurité aux frontières qui impose aux compagnies aériennes arrivant aux États-Unis ou quittant ce pays de transmettre des données relatives aux passagers et aux membres d’équipage au service de l’immigration des États-Unis (U.S. Immigration and Naturalization Service). En ce qui concerne les passagers et les membres d’équipage arrivant aux États-Unis, les données et l’obligation de transmission est la même que pour les douanes U.S. Pour les passagers et les membres d’équipage partant des États-Unis, le transfert doit être effectué par voie électronique et terminé 15 minutes avant le décollage de l’avion, ce qui permet de mettre à jour ou de corriger le « manifeste » au plus tard dans les 15 minutes après le décollage de l’avion. Le U.S. Immigration and Naturalization Service se réserve le droit de réclamer le retour de l’appareil aux États-Unis dans un délai d’une heure après son décollage, s’il le juge nécessaire.

Toutes les données doivent être transmises à une base de données centralisée exploitée conjointement par les douanes U.S. et l’Immigration and Naturalization Service. Les données seront alors partagées avec d’autres autorités fédérales et ne bénéficieront plus d’une protection spécifique.

La réaction des compagnies aériennes européennes

La non transmission des informations requises ou la transmission d’informations erronées ou incomplètes est assortie de lourdes sanctions, notamment la privation des droits d’atterrissage et des amendes pécuniaires très dissuasives. En réalité, quand certaines compagnies ont fait de la résistance et ont tenté de s’opposer au système, leurs passagers ont comme par hasard subi des heures de contrôles aux frontières alors que les passagers des compagnies plus conciliantes passaient sans encombre.

Les compagnies européennes se sont mobilisées pour avoir un langage commun, notamment quant à la compatibilité du transfert des données vers les USA en regard de la législation européenne sur les traitements de données à caractère personnel.

L’article 25 de la directive sur les données à caractère personnel (directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995) prévoit que les données à caractère personnel ne peuvent être transférées vers un pays tiers que si le pays en question assure un niveau de protection adéquat. Le paragraphe 6 de ce même article prévoit que la Commission peut adopter une décision confirmant que le niveau de protection est adéquat dans un pays donné, en raison de sa législation interne ou de ses engagements internationaux. La Commission est donc compétente pour les questions de relations extérieures soulevées dans le domaine des données à caractère personnel. La Commission a également des responsabilités directes en application du règlement sur les systèmes informatisés de réservation.

Les pourparlers Europe – USA et la déclaration commune

Il y a donc eu des discussions entre les services de la Commission et le US Customs and Border Protection Bureau (US CBP) ont pour objet de satisfaire les intérêts des États-Unis en matière de sûreté, et parallèlement de préparer le terrain en vue d’une décision de la Commission européenne concernant le niveau de protection aux États-Unis, bien que ceux-ci devront fournir quelques assurances et éléments supplémentaires à l’appui. La question se trouverait alors réglée à l’échelle européenne, de manière juridiquement contraignante et en assurant la certitude juridique nécessaire à toutes les parties prenantes.

Ces discussions ont abouti à une déclaration commune les 17 et 18 février 2003. Il y est notamment dit que :

The Commission side noted the undertakings by US Customs with regard to the treatment of personal data (see annex). In addition, it is the understanding of both sides that:

In accessing the PNR data in the territory of the Community, US Customs undertakes to respect the principles of the Data Protection Directive.

In so far as data of a sensitive nature, as defined in Article 8 of the Data Protection Directive, are processed by airlines in their PNR records, in accordance with the applicable EU law, measures to protect these data will need to be jointly developed, after consultation with the airline industry, preferably before 5 March 2003.

As concerns a first party request for disclosure of data by the data subject, US Customs will proceed with disclosure under the Freedom of Information Act (FOIA).

US Customs and the European Commission will consult with each other on a regular basis concerning implementation of this statement and possible enhancements which may be applied, consistent with US law and practice. Such discussions would include the results of any audits or other findings regarding in particular personnel access to information in US Customs databases.

US Customs may provide information to other US law enforcement authorities only for purposes of preventing and combating terrorism and other serious criminal offences, who specifically request PNR information from US Customs.

Les deux parties se sont donc engagées à poursuivre leur discussion et espèrent un accord pour l’été 2003.

L’état actuel du dossier

D’ici là, la Commission vient de rendre public une liste de questions-réponses qui fixe le cadre actuel du dossier. Les voici :

  1. Qu’est-ce que le PNR et quelles données contient-il?

    Le PNR est le nom générique des fichiers créés pour chaque voyage réservé par un passager. Ces fichiers sont stockés sur les bases de données de réservation et de contrôle des départs des compagnies aériennes, et permettent à tous les intervenants du secteur aérien (depuis l’agence de voyage jusqu’aux agents d’assistance en escale dans les aéroports en passant par les systèmes informatisés de réservation (SIR) et les compagnies aériennes) de reconnaître chaque passager et d’avoir accès à toutes les informations pertinentes concernant son voyage: vols d’aller et de retour, vols de correspondance (le cas échéant) services spéciaux requis à bord, etc.

    Le nombre et la nature des champs d’information dans un système PNR varient d’une compagnie aérienne à une autre. Il existe environ 20 à 25 champs possibles, dont certains comprennent des sous-sections, soit un total d’une soixantaine de champs et sous-champs.

  2. Pourquoi la Commission européenne a-t-elle discuté avec le bureau américain des douanes et de la protection des frontières (US Customs and Border Protection Bureau – CBP) du partage des données des PNR établis par les transporteurs aériens?

    La loi américaine du 19 novembre 2001 sur la sûreté de l’aviation et des transports (Aviation and Transportation Security Act) a institué pour les compagnies aériennes assurant des liaisons de passagers au départ, à destination ou via les États-Unis l’obligation de donner aux douanes américaines, à leur demande, accès aux données des PNR figurant dans leurs systèmes de réservation et de contrôle des départs.

    L’article 25 de la directive sur les données à caractère personnel (directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995) prévoit que les données à caractère personnel ne peuvent être transférées vers un pays tiers que si le pays en question assure un niveau de protection adéquat. Le paragraphe 6 de ce même article prévoit que la Commission peut adopter une décision confirmant que le niveau de protection est adéquat dans un pays donné, en raison de sa législation interne ou de ses engagements internationaux. La Commission est donc compétente pour les questions de relations extérieures soulevées dans le domaine des données à caractère personnel. La Commission a également des responsabilités directes en application du règlement sur les systèmes informatisés de réservation.

    Les discussions entre les services de la Commission et l’US CBP ont pour objet de satisfaire les intérêts des États-Unis en matière de sûreté, et parallèlement de préparer le terrain en vue d’une décision de la Commission européenne concernant le niveau de protection aux États-Unis, bien que ceux-ci devront fournir quelques assurances et éléments supplémentaires à l’appui. La question se trouverait alors réglée à l’échelle européenne, de manière juridiquement contraignante et en assurant la certitude juridique nécessaire à toutes les parties prenantes.

  3. Quand la Commission a-t-elle entamé les discussions avec le CBP, et quels sont les objectifs de ces discussions?

    La Commission a soulevé la question dans ses contacts bilatéraux avec les États-Unis à partir de décembre 2001. À la suite de ces contacts, le CBP a accordé des prolongations de délai d’application jusqu’au 5 mars 2003 pour les compagnies aériennes se déclarant concernées par la directive européenne sur les données à caractère personnel. De hauts fonctionnaires de la Commission européenne et de l’US CBP (qui s’appelait encore US Customs) se sont rencontrés à Bruxelles les 17 et 18 février 2003. D’autres discussions ont eu lieu en février et début mars. Les deux parties sont convenues de travailler ensemble, à un arrangement bilatéral afin de concilier les exigences américaines avec celles de la directive de l’UE sur les données à caractère personnel, en application de laquelle (article 25, paragraphe 6) la Commission adoptera une décision.

    La Commission considère également qu’un accord multilatéral dans le cadre de l’OACI est nécessaire à plus long terme, car il est difficilement envisageable que toutes les compagnies aériennes qui recueillent et traitent des données dans l’UE soient obligées de se conformer à une multiplicité d’accords imposés unilatéralement ou négociés bilatéralement.

    Les discussions entre l’US CBP et la Commission se poursuivent. La Commission consulte à ce sujet le secteur européen du transport aérien.

  4. La Commission a-t-elle conclu un accord avec l’US CBP?

    Non, la Commission n’a conclu aucun accord avec les États-Unis. L’article 25, paragraphe 6 de la directive sur les données à caractère personnel confère à la Commission un pouvoir d’enquête sur l’adéquation du niveau de protection dans les pays tiers. Des discussions ont eu lieu avec l’US CBP, qui a donné certaines assurances, et les deux parties se sont engagées à poursuivre les discussions en vue d’établir une situation juridiquement plus sûre pour tous ceux auxquels s’appliquent l’obligation de donner à l’US CBP accès aux PNR.

  5. Quel est l’effet de la déclaration conjointe de la Commission et de l’US CBP?

    L’US CBP a indiqué qu’elle avait, depuis l’adoption de l’Aviation and Transportation Security Act le 19 novembre 2001, accès aux données des PNR des compagnies aériennes établies dans d’autres parties du monde et qui exploitent des liaisons à destination, au départ et via les États-Unis.

    Dans le cas des compagnies aériennes exploitant des liaisons au départ des pays de l’UE et établies dans ces pays, il apparaît à la Commission, sur la base des engagements pris par les États-Unis dans la déclaration conjointe du 18 février 2003 et dans l’addendum du 4 mars que l’US CBP a accès aux données des PNR des vols transatlantiques depuis le 5 mars 2003.

  6. Quelles données du PNR sont mises à la disposition du CBP?

    Comme indiqué dans la déclaration conjointe, l’US CBP demande l’accès aux données des PNR des personnes dont le voyage en cours inclut des vols au départ, à destination ou via les États-Unis. Toutes les étapes entre la réservation initiale et l’achèvement du voyage sont consignées dans le PNR.

  7. Quid des données sensibles incluses dans le PNR?

    L’US CBP s’est engagé à continuer à ne pas utiliser les données des PNR entrant dans les catégories indiquées comme sensibles à l’article 8, paragraphe 1 de la directive sur les données à caractère personnel (par ex. les données révélant l’origine ethnique ou les convictions religieuses ou celles relatives à la santé) pour identifier les personnes susceptibles de faire l’objet d’un examen à la frontière par le CBP. En outre, le CBP s’est engagé à mettre en place des filtres spéciaux dans ses systèmes afin de restreindre l’accès aux données de ce type qu’il collecte. Les autres utilisations de ces données par le CBP ou leur transfert à d’autres organismes chargés de faire respecter la loi, aux fins de la prévention ou de la lutte contre le terrorisme et d’autres activités criminelles graves (par ex. à l’appui d’enquêtes suscitées par d’autres informations), seront soumises à une procédure d’approbation spéciale impliquant le Deputy Commissioner du CBP.

  8. L’US CBP demande-t-elle d’accéder aux données du PNR concernant le type de repas consommé par le passager ou son état de santé?

    Ces informations sont recueillies par les compagnies aériennes afin de fournir des services spéciaux à certains clients, et peuvent donc être consignées dans certains PNR.
    L’US CBP a cependant indiqué que ces informations ne sont pas utilisées pour identifier les personnes susceptibles de faire l’objet d’un examen à la frontière par le CBP.

  9. Le CBP peut-il obtenir les données contenues dans les PNR par d’autres moyens?

    L’US CBP a indiqué qu’il pouvait déjà obtenir la plupart des données contenues dans les PNR en examinant le billet d’avion et d’autres documents de voyage lors de l’exercice de son autorité normale de contrôle aux frontières. En outre, les quelques catégories d’informations qui ne figurent pas sur ces documents peuvent en général être demandées oralement par le CBP au passager lors de l’examen à la frontière. Toutefois ce type de contrôle ralentirait considérablement le traitement des passagers au départ et à l’arrivée aux États-Unis. Selon l’US CBP, l’accès électronique aux données accélérera les formalités aux frontières et facilitera ainsi le trafic passagers légitime.

  10. Des informations supplémentaires seront-elles à fournir lors de la réservation d’un billet pour satisfaire aux exigences de l’US CBP?

    L’US CBP a indiqué qu’il ne demande aux compagnies aériennes de lui communiquer que les sections du PNR qu’elles incluent habituellement dans leur système de contrôle des réservations et des départs, et que les règles d’application de l’exigence relative aux PNR ne font pas obligation aux compagnies aériennes de remplir tous les champs disponibles pour les données des PNR.

  11. D’autres organismes américains auront-ils accès aux données des PNR que l’US CBP obtient auprès des compagnies aériennes?

    Le CBP a indiqué qu’aucun organisme à l’étranger ni au niveau du gouvernement fédéral, des États ou des autorités locales n’a directement accès aux PNR par l’intermédiaire de la base de données du CBP. Toutefois, le droit américain prévoit que d’autres autorités chargées de faire respecter la loi peuvent demander au CBP des informations figurant sur les PNR, et que le CBP a la faculté d’accéder ou non à une telle demande. L’US CBP s’est engagé, dans l’exercice de cette faculté, à ne fournir de données des PNR qu’à l’unique fin de la prévention et de la lutte contre le terrorisme et d’autres crimes graves.

    L’US CBP s’est en outre engagé à ce que, lors de l’examen de l’opportunité de communiquer des données à un autre organisme chargé de faire respecter la loi, il s’assurera que l’objet officiel de la demande de transmission des données est conforme à l’objectif pour lequel l’US CBP collecte lui-même ces informations (prévention ou lutte contre le terrorisme ou d’autres crimes graves). En ce qui concerne les demandes de données des PNR classées « sensibles » en application de l’article 8 de la directive communautaire sur les données à caractère personnelle, l’US CBP s’est engagé à mettre en œuvre une procédure d’approbation spécifique impliquant le Deputy Commissionner avant de communiquer des données de ce type à d’autres organismes chargés de faire respecter la loi.

  12. La loi américaine prévoit-elle une protection contre la divulgation de données du PNR concernant des ressortissants d’autres pays que les États-Unis et auxquelles l’US CBP a accès?

    L’US CBP a indiqué que la divulgation de données du PNR auxquelles il a accès est régie d’une manière générale par le Freedom of Information Act (FOIA – loi sur la liberté de l’information), qui autorise l’accès public aux registres d’une agence fédérale américaine, sauf si ces registres (ou une partie d’entre eux) sont protégés de la divulgation par une dérogation prévue par le FOIA. L’US CBP considère les informations du PNR, quel que soit le pays d’origine de la personne concernée, comme des données sensibles et confidentielles, à caractère personnel dans le cas du passager, relevant du secret commercial dans le cas du transporteur aérien. L’US CBP prévoit dans ses règles de conduite que l’obligation de divulgation inscrite dans le FOIA ne s’applique pas à ce type de données (sous réserve de quelques exceptions restreintes dans le cas de demandes de la part des passagers concernés). L’US CBP s’est engagé à adopter cette position en relation avec toute action administrative ou judiciaire faisant suite à une demande de communication des données des PNR sur la base du FOIA.

  13. Dans le cas où un ressortissant de l’UE considère que des données de PNR transmises à l’US CBP et archivées par ce dernier sont susceptibles d’être erronées, de quelles voies de recours dispose-t-il ?

    Selon l’US CBP, toute personne qui considère que les données de PNR communiquées à l’US CBP et archivées par lui sont susceptibles de contenir des informations erronées peut demander à examiner les données le concernant en application du Freedom of Information Act (FOIA). Si cette personne n’obtient pas satisfaction, le FOIA prévoit des recours administratifs et judiciaires contre une décision d’un organisme concernant la divulgation de données. Une personne faisant l’objet d’un fichier et qui considère celui-ci comme erroné (ou son mandataire) peut prendre contact avec l’Office of Field Operations de l’US CBP, soit par l’intermédiaire de la compagnie aérienne, soit directement, afin de demander la modification des données de PNR archivées par l’US CBP. Celui-ci s’est engagé, s’il juge la demande fondée au vu des pièces justificatives, à effectuer la modification.

    Sans préjudice de ce qui précède, la Commission européenne rappelle que dans l’UE, toute personne a droit à un recours judiciaire contre toute atteinte aux droits garantis par la législation nationale de l’État membre en cause applicable en l’espèce. En outre, la Commission rappelle que toute personne peut introduire une plainte auprès de l’autorité de surveillance nationale de l’État membre en cause en ce qui concerne la protection de leurs droits et de leurs libertés en relation avec le traitement des données à caractère personnel.

Plus d’infos

En lisant l’analyse du Groupe 29, disponible sur notre site ;

En lisant la déclaration commune, disponible sur notre site.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK