Vous êtes ici

Un accord PNR européen


18 décembre 2007

Pour lutter contre le terrorisme, les Européens s'inspirent des Etats-Unis. La transmission des données des passagers aériens aux polices des 27 pourrait devenir obligatoire.

Rendre les fichiers des passagers aériens accessibles aux policiers et aux juges : la France l’a souhaité. Le Commissaire à la justice Franco Frattini l’a officiellement proposé devant la Commission le 7 novembre dernier. Cet usage, basé sur l’exemple américain, est censé fournir un complément d’information dans la lutte globale contre le terrorisme.
Les fichiers PNR (Passenger Name Record) sont, à l’origine, des informations commerciales déclarées par le voyageur au moment de la réservation. Ils peuvent contenir des données comme le numéro de carte bleue, le prix du billet, les références de passeport ou l’adresse à destination(1). Depuis le 11 septembre 2001, les Etats-Unis ont exigé d’accéder à ces fichiers pour les comparer avec leurs propres listes de suspects, puis pour établir des évaluations de risques dites "profilages". L'Union a du s'y plier.
Le projet de PNR européen pourrait aboutir sous présidence française. Mais le texte soulève encore de nombreuses questions notamment sur la finalité de l’utilisation des données, ou sur les conditions de transfert et de stockage des fichiers. Dans la proposition actuelle, 27 guichets PIU (Passenger Information Unit) seraient créés, un pour chaque pays-membre. Un cauchemar technique.

(1) La circulation commerciale de ces données est encadrée par une directive du 24 octobre 1995 sur la protection des données individuelles. Celle-ci ne couvre pas les usages policiers et judiciaires (voir ci dessous).

Manon Aubel à Strasbourg

L'observatoire de Statewatch: tout sur le PNR américain  

 

Combien ça coûte? A quoi ça sert?

L’accord PNR américain a coûté cher à l’industrie aéronautique. «Plusieurs millions par an», estime Arnaud Camus directeur du groupe de réflexion sur ce dossier depuis 2002. Pour Amadeus, qui conçoit les systèmes de réservation en ligne, l’investissement s’est élevé à cinq millions d'euros l’année dernière. A la direction des affaires internationales d'Air France, Arnaud Camus consacre presque la moitié de son temps de travail au problème du transfert de données. C’est au nom de l’AEA (Association of European Airlines), un groupement de 31 compagnies européennes, qu’il instruit le dossier du PNR: «Les coûts de transmission vont doubler cette année. Conformément à l’accord de l’été dernier, nous passons du push system au pull system, c’est-à-dire que les Américains ne chercheront plus eux-mêmes les données des passagers depuis nos bases, nous les leur enverrons nous-mêmes en quatre exemplaires.»
A la Commission, la chef de secteur à la protection des données a fait son estimation: «Si un PNR européen entrait en vigueur sur le modèle de l’accord américain, le billet de chaque passager augmenterait d’environ 20 euros», affirme Cecilia Verkleij.
Mais les compagnies le chiffrent beaucoup plus haut. A la direction de l’AEA, Athar Husain Khan a lui-même envoyé une lettre à la Commission. Selon lui, les coûts pour l’industrie aérienne auraient été sous-estimés. Car le dispositif choisi pourrait bien aboutir à 27 protocoles différents. «Ce n’est pas à nous de payer. La protection des citoyens contre le terrorisme relève de la compétence de l’Etat, et non de celle des compagnies aériennes», insiste-t-il.

«Nous demandons des preuves»

Avant de pouvoir manier les données personnelles de millions de personnes, la députée néerlandaise Sophia In’d Veld rapporteur sur les questions PNR au sein de la Commission LIBE du Parlement européen, souhaiterait que la Commission fournisse un minimum de preuves sur l’efficacité du système. «Nous n’avons même pas fait de bilan du PNR américain, et on projette déjà la création d’un PNR européen», regrette-t-elle. La Commission, affirme que les preuves existent, mais que ces informations sont classifiées. «Un argument nettement insuffisant au regard des atteintes à la vie privée de ce nouveau projet de PNR , rétorque Pascale Raulin-Serrier en charge des Affaires européennes à la Commission nationale des libertés et de l’informatique (CNIL). Si les autorités de protection des données étaient mieux associées au processus décisionnel, elles pourraient évaluer la justification et les conditions d’application du projet PNR.»
Il appartient aux présidences slovène et française de décider du rythme d’adoption du texte. Avec les pouvoirs que lui donnerait le nouveau traité, le Parlement pourrait contraindre le Conseil à reconsidérer la nécessité d’un PNR européen.
M.A

Bras de fer autour de la protection des données

«Rien n'est encore joué», promet Sophia In’d Veld, députée au Parlement (ALDE, Pays-Bas): «les opinions publiques sont sensibles à la protection des données, il faut s’assurer qu’elles soient informées de ce qui est en train de se décider», explique-t-elle.
Discutée depuis le 4 octobre 2005, la décision cadre sur la protection des données personnelles s’appliquera aux échanges d'information entre services policiers et judiciaires à l’intérieur et hors de l’Union européenne et au futur PNR européen. Si cet accord est voté avant le 31 décembre 2008, date prévue pour l'entrée en vigueur du nouveau traité, il le sera à l’unanimité avec une simple consultation du Parlement. En revanche, après cette date, le texte réclamera une procédure de codécision: le Parlement aura le même poids que le Conseil. C’est ce dont a convenu le 17 décembre Jonathan Faull, directeur général à la Commission, devant les eurodéputés. Il a cependant estimé le texte actuel «satisfaisant».
Ce n’est pas l’avis du Parlement qui compte faire le nécessaire pour ralentir la procédure d’adoption. Les critiques se sont en effet multipliées contre un texte qui n’a cessé d’affaiblir les garanties de protection individuelle. «La protection de nos données est en train de tomber en miettes», déplore Sophia In’d Veld. Pour la Commission nationale de l'informatique et des libertés (CNIL), ce projet a été vidé de ses ambitions de départ: «il est maintenant question d'un accord a minima reposant sur un arsenal législatif limité. Par exemple, la référence à la directive 95/46/CE relative à la protection des données ou encore à la Convention 108 du Conseil de l'Europe: la vocation de cette loi était au contraire d’élargir les dispositifs de protection des données actuels», observe Pascale Raulin-Serrier, chargée des Affaires européennes. Autre inquiétude, l’absence de référence aux autorités de protection des données, pourtant au cœur du processus de contrôle et de surveillance.
A la Commission, Cecilia Verkleij se montre plutôt confiante. La chef de secteur à la protection des données assure qu’il existe déjà un certain consensus politique: «L’adoption de cette décision devrait se faire rapidement, probablement autour du mois de mars.» Mais pour la députée néerlandaise Sophia In'd Veld, «le Parlement a ses méthodes» pour s'assurer que le Conseil et la Commission ne tentent pas de passer en force.
M.A.

 

Imprimer la page