La directive 2016/681 relative aux « données des passagers aériens » (PNR)
par Pascal M. Dupont
La directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (JOUE du 4 mai 2016) qui vient d’être adoptée, crée un cadre juridique pour le traitement des informations relatives aux passagers des vols à destination ou en provenance des Etats membres et les pays tiers à l’Union. Bien que les aéronefs d’Etat restent exclus du champ d’application de ce texte, il convient de bien saisir les enjeux du PNR qui constitue un instrument de la lutte contre le terrorisme aérien.
Les données PNR sont d’ores et déjà recueillies par les transporteurs aériens ou les agences de voyage au cours des procédures de réservation ou d’embarquement des passagers. Elles regroupent les noms, les dates de voyage, l’itinéraire, les informations relatives aux tickets, aux bagages et au moyen de paiement utilisé au cours du déplacement. L’UE a déjà signé des accords de transfert de ce type de données avec les États-Unis, l’Australie et du Canada. Chaque Etat membre doit mettre en place ou désigner une unité d’informations passagers (UIP) chargées à la fois de la collecte des données PNR auprès des transporteurs aériens et de l’échange de ces données avec les autres Etats membres et avec Europol. Au sein de l’unité précitée, un délégué à la protection des données est chargé de contrôler ce traitement. Ces données peuvent être utilisées de deux manières. En mode réactif, après la commission d’une infraction, elles aident les services répressifs à prévenir et à détecter d’autres infractions graves, dont des actes de terrorisme, et à enquêter sur celles-ci et à poursuivre leurs auteurs. En temps réel, elles permettent d’identifier des personnes dont les données de déplacement sont suspectes, tels les ressortissants européens soupçonnés de vouloir rejoindre les mouvements djihadistes à l’étranger. La directive précise également les modalités d’échange entre Etats membres, ainsi que les conditions d’accès aux données PNR par Europol ou de transfert de données vers des pays tiers. Elle peut s’appliquer également aux vols intérieurs à l’UE.
Le projet de directive élaboré en 2011 par la Commission européenne se heurtait jusqu’ici aux réticences de certains eurodéputés justifiées par la protection des droits fondamentaux et des libertés publiques. Le Parlement européen a adopté le texte en avril dernier, non sans avoir renforcé au préalable les garanties sur la protection des données à caractère personnel. Les données PNR, limitées à 19 informations, ne peuvent être traitées qu’à des fins de prévention et de détection de infractions terroristes et des formes graves de criminalité (de la traite des êtres humains au trafic de matières nucléaires et radioactives en passant par la cybercriminalité) énumérées dans les deux annexes à la directive. L’accès aux données n’est possible que dans des conditions strictes et la période de conservation est limitée à cinq ans. Tout traitement des données PNR doit faire l’objet d’une trace documentaire. Enfin, il est explicitement interdit de traiter des données à caractère personnel révélant l’origine raciale ou ethnique d’une personne, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance à un syndicat, son état de santé, sa vie sexuelle ou son orientation sexuelle.