La directive PNR sur l’échange des données personnelles des passagers aériens a été adoptée par le Parlement européen.
Alors que cette directive PNR faisait débat depuis cinq ans, les attentats survenus en Europe en 2015 et début 2016 ont précipité son vote par le Parlement européen. Cette directive doit encore faire l’objet d’un vote formel des Etats membres au sein du Conseil de l’Union Européenne.
L’objectif de la présente directive PNR est de prévenir et de détecter des infractions terroristes et des formes graves de criminalité (1) ainsi que d’identifier des personnes qui n’étaient pas soupçonnées de participation à des infractions terroristes ou à des formes graves de criminalité (2).
A cette fin, la directive PNR prévoit la collecte et le transfert par les transporteurs aériens, des données des passagers (Passenger Name Record) de vols extra-UE aux Etats membres (3), c’est-à-dire des vols en provenance d’un pays tiers et devant atterrir sur le territoire d’un État membre ou en provenance du territoire d’un État membre et devant atterrir dans un pays tiers, y compris, dans les deux cas, les vols comportant d’éventuelles escales sur le territoire d’États membres ou de pays tiers (4).
Les données des passagers aériens seront centralisées, non pas sur un fichier unique à l’échelle européenne, mais sur une unité d’information des passagers (UIP) au sein de chaque Etat membre. Les Etats membres seront cependant libres de mettre en place conjointement une seule unité d’information des passagers aériens. Tous les pays de l’UE sont concernés par la présente directive, à l’exception du Danemark (5).
L’unité d’information des passagers sera chargée, dans chaque Etat membre, de collecter et d’analyser les données transmises par les transporteurs aériens et de les transmettre dans certains cas à d’autres Etats membres ou à des Etats tiers.
Cette obligation ne concerne que les vols extra-européens mais la directive laisse la possibilité aux Etats membres de faire rentrer dans son champ d’application les vols intra-européens et les vols charters. Dans ce cas, l’Etat membre devra le notifier à la Commission par écrit (6).
Les données collectées ne pourront en aucun cas porter sur l’origine raciale ou ethnique, la religion ou les convictions, les opinions politiques ou toute autre opinion, l’appartenance à un syndicat, la santé, la vie sexuelle ou l’orientation sexuelle d’un passager (7).
Elles ne pourront être utilisées que pour empêcher ou détecter des infractions terroristes et un nombre limité d’autres infractions graves, comme la pédopornographie et la traite d’êtres humain.
Par ailleurs, aucune décision ne pourra être prise concernant un passager aérien sur le simple traitement automatique de ces données PNR. Les évaluations effectuées à partir des données devront être « réexaminées individuellement par des moyens non automatisés » (8). Plus généralement, les autorités compétentes ne pourront prendre aucune décision produisant des effets juridiques préjudiciables à un passager ou l’affectant de manière significative sur la seule base du traitement automatisé de données PNR (9).
La durée maximale de conservation des données est fixée à 5 ans. Cependant les informations relatives à un passager aérien doivent être dépersonnalisées au bout de 6 mois, par le masquage des données permettant de l’identifier directement, telles que son nom, prénom, son adresse postale (10).
Enfin, pour s’assurer que les transporteurs aériens respectent leurs obligations de collecte et de transfert des données PNR, les États membres pourront prévoir des sanctions effectives, proportionnées et dissuasives, y compris des sanctions financières.
Par conséquent, et afin d’éviter de telles sanctions, il est nécessaire que les transporteurs aériens mettent en place une organisation interne leur permettant de répondre à leurs obligations en matière de collecte et de transfert des données des passagers aériens tout en veillant au respect des exigences en matière de protection des données personnelles, notamment des futures obligations du Règlement européen relatif à la protection des données (11), adopté le même jour que la présente directive PNR.
Lexing Alain Bensoussan Selas
Lexing Informatique et libertés
(1) Directive PNR (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (JOUE L 119 du 4.5.2016, p. 132–149) considérant 6.
(2) Ibid. considérant 7
(3) Ibid. art. 1
(4) Ibid. art. 3, 2
(5) Ibid. considérant 40
(6) Ibid. art. 2, 1°
(7) Ibid. considérant 15
(8) Ibid. art. 6, 5°
(9) Ibid. art. 7, 6°
(10) Ibid. art. 12, 2°
(11) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L 119 du 4.5.2016, p. 1–88)