Accord UE/États-Unis: traitement et transfert de données des dossiers passagers (données PNR) par les transporteurs aérien (accord PNR 2007)

2009/0187(NLE)

Le présent accord entre les États-Unis et l’Union européenne porte sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens de l’UE au ministère américain de la sécurité intérieure (DHS) (accord connu sous le nom d’ «accord PNR 2007»).

Son principal objectif est de faire en sorte que les transporteurs aériens de l’UE se conforment aux conventions internationales, lois et règlements américains qui exigent de tout transporteur aérien assurant un service de transport international de passagers à destination ou au départ des États-Unis qu’il mette à la disposition du DHS (Department of Homeland Security ou ministère américain de la sécurité intérieure) les données des dossiers passagers (Passenger Name Record, ou "PNR") recueillies et stockées dans son système informatique de contrôle des réservations et des départs et les exigences comparables mises en œuvre dans l'UE. L'Union européenne doit donc veiller à ce que les transporteurs aériens mettent leurs données PNR à la disposition du DHS et satisfassent aux exigences techniques requises pour ces transferts.

L’accord comporte également un échange de lettres qui donne des assurances sur la protection des données transférées par l’Union européenne au DHS.

Sur le plan technique : il est prévu que le DHS accède, par voie électronique, aux données PNR provenant des systèmes de réservation des transporteurs aériens situés sur le territoire de l'UE jusqu'à ce qu'un système satisfaisant soit mis en place pour permettre la transmission de ces données par les transporteurs aériens. Le DHS devra traiter ces données conformément aux lois et exigences constitutionnelles américaines applicables, sans discrimination illégitime, en particulier sur la base de la nationalité et du pays de résidence (l’échange de lettres du DHS expose ces garanties à cet égard). A compter du 1er janvier 2008 au plus tard, le DHS passera à un système d'exportation pour la transmission des données par ces transporteurs aériens.

Il est également prévu que le DHS et l'UE réexaminent à intervalles réguliers la mise en œuvre de l’accord, de la lettre du DHS et des mesures et pratiques des États-Unis et de l'UE en matière de données PNR afin de veiller mutuellement au fonctionnement efficace de leurs systèmes et à la protection de la vie privée assurée par ces derniers.

Protection des données : le DHS ne devra pas prendre, dans son système PNR, de mesures de protection des données qui soient plus strictes que celles appliquées par les autorités européennes dans leurs propres systèmes PNR nationaux. En contrepartie, le DHS ne demande pas aux autorités européennes d'adopter, dans leurs systèmes PNR, des mesures de protection des données qui soient plus strictes que celles appliquées par les États-Unis. Si cette attente n'est pas satisfaite, des dispositions sont prévues pour renforcer la coopération entre les parties. Le DHS devra en outre assurer un niveau adéquat de protection des données PNR transférées de l'Union européenne.

L’accord entre en vigueur à titre provisoire dès sa signature, dans l’attente de sa conclusion.

Lettre DHS : l’accord comporte un échange de lettres entre l’UE et le DHS décrivant la manière dont le ministère américain de la sécurité intérieure assure la collecte, l'utilisation et le stockage des données PNR. Le lettre présente en particulier les assurances données par le DHS et expose les mesures que le DHS applique aux données PNR issues des vols entre les États-Unis et l'Union européenne en vertu de la législation américaine.

Cette lettre définit en particulier :

  • les fins auxquelles les données PNR sont utilisées: globalement i) prévenir et combattre le terrorisme; ii) prévenir et combattre d'autres délits graves de nature transnationale, y compris la criminalité organisée; et iii) empêcher que des personnes se soustraient aux mandats et aux mesures de détention provisoire émis à leur encontre concernant les infractions ci-avant. Les données PNR peuvent en outre être utilisées pour la protection des intérêts vitaux de la personne concernée ou d'autres personnes, ou dans le cadre d'une procédure pénale ou de toute autre manière requise par la loi ;
  • les règles de partage des données PNR: le DHS traite les données PNR de l'UE comme des données sensibles et confidentielles conformément aux lois américaines et les communique, s'il le juge utile, aux autres autorités gouvernementales américaines chargées du maintien de l'ordre, de la sécurité publique ou de la lutte contre le terrorisme. L'accès est strictement et soigneusement limité. Les données PNR de l'UE ne sont échangées avec d'autres autorités gouvernementales de pays tiers qu'après examen de l'utilisation ou des utilisations prévues par le destinataire et de sa capacité à assurer la protection des informations ;
  • types d'informations collectées: il s’agit des données PNR classiques (code repère du dossier PNR, date de réservation/d'émission du billet, date du voyage, nom de la personne, etc.,…). Si ces données incluent des données sensibles (à savoir les données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses etc.), le DHS devra avoir recours à un système automatisé qui filtre ces codes et n'utilise pas ces informations, sauf cas exceptionnel, décrit dans l’échange de lettres ;
  • droit d'accès et droit de regard: il s’agit de permettre aux personnes, quels que soient leur nationalité ou leur pays de résidence d’accéder aux données PNR les concernant et de pouvoir corriger ces données au besoin, selon une procédure décrite à l’échange de lettres ;
  • conservation des données: de manière générale, le DHS conservera les données PNR de l'UE dans une base de données analytique active pendant 7 ans, après quoi les données acquerront un statut inactif, non opérationnel. Les données ayant ce statut seront conservées pendant 8 ans et il ne sera possible d'y accéder qu'avec l'accord d'un haut fonctionnaire du DHS. Les données PNR de l'UE devraient être détruites à la fin de cette période ;
  • transmission: comme prévu à l’accord lui-même, l’échange de lettres rappelle que le DHS est disposé à passer aussi rapidement que possible à un "système d'exportation" pour transmettre au DHS les PNR provenant des compagnies aériennes assurant des vols entre l'UE et les États-Unis (soit le 1er janvier 2008 pour tous les transporteurs aériens qui ont mis en œuvre un système conforme aux exigences techniques du DHS). Dans des circonstances normales, le DHS recevra une transmission initiale de données PNR 72 heures avant un départ prévu et recevra ensuite, le cas échéant, des mises à jour pour garantir l'exactitude des données ;
  • réciprocité: comme prévu à l’accord lui-même, des mesures de réciprocité sont prévues de telles sorte que le DHS ne demande pas aux autorités européennes d'adopter, dans leurs systèmes de données PNR, des mesures de protection des données qui soient plus strictes que celles appliquées par les États-Unis et vice et versa. Des mesures sont prévues afin de renforcer la coopération policière et judiciaire entre le DHS et les services de police et autorités judiciaires des États membres de l’UE (y compris Europol et Eurojust) ;
  • réexamen: le DHS et l'UE réexamineront à intervalles réguliers la mise en œuvre de l'accord, de la lettre, des mesures et pratiques des États-Unis et de l'UE en matière de données PNR et de transmission de données sensibles.

Á noter que l’accord ne pourra être considéré comme constituant un précédent pour les discussions ou les négociations qui pourraient se tenir à l'avenir entre les États-Unis et l'Union européenne, ou entre l'une des parties et tout autre État, au sujet du traitement et du transfert de données PNR ou de toute autre forme de données.