OBJECTIF : fixer le niveau de protection pour les données PNR à caractère personnel transmises dans le cadre de l’accord conclu entre la Communauté et les États-Unis sur la transmission de ce type de données.
ACTE LÉGISLATIF : Décision 2004/535/CE de la Commission relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis d’Amérique.
CONTENU : En vertu de la directive 95/46/CE du Parlement européen et du Conseil sur la protection des données à caractère personnel, les États membres peuvent transférer des données de ce type vers un pays tiers que si ce dernier assure un niveau de protection adéquat et si les lois nationales de mise en œuvre de la directive sont clairement respectées.
Dans le cadre des transports aériens, le dossier passager ou PNR (« Passenger Name Record ») est un fichier contenant les renseignements relatifs au voyage de chaque passager. Il contient des informations pour le contrôle des réservations par les compagnies aériennes.
Sachant que l’Union et les États-Unis sont liés par un accord spécifique de transfert de données PNR, dans le contexte de la lutte contre le terrorisme, la présente décision de la Commission entend réglementer et fixer le cadre des données qui seront transférées et les modalités administratives qui encadreront ce type de transfert.
Conformément à cet accord (se reporter à la fiche de procédure CNS/2004/0064), le Bureau des douanes et de la protection des frontières des États-Unis du ministère de la sécurité intérieure, exige de toutes les compagnies aériennes assurant un service de transport de passagers à destination ou au départ des USA qu’elles fournissent un accès électronique aux dossiers PNR stockées dans leurs systèmes informatisés de réservation.
Pour éviter que des données à caractère personnel non requises soient transférées dans le cadre de cet accord, la présente décision de la Commission prévoit un principe de limitation des données en se fondant sur les exigences prévues par la directive 95/46/CE (article 13). Celles-ci prévoient notamment un assouplissement des exigences s’il s’agit de mesures nécessaires à la sauvegarde de la sûreté de l’État, la défense, la sécurité publique ainsi que la prévention, la recherche et la détection ou la poursuite d’infractions pénales.
Dans ce contexte et conformément à l’accord CE-USA sur les données PNR, le transfert de données par des compagnies aériennes de l’UE sera régi par les dispositions de la « Déclaration d’engagement du Bureau des douanes et de la protection des frontières du ministère de la sécurité intérieure » des États-Unis du 11 mai 2004 et par la législation américaine, qui limitent le traitement de ces données dans le sens de la directive 95/46/CE. Ces dispositions respecteront notamment 4 grands principes :
-le principe de limitation du transfert des données à une finalité spécifique : les données à caractère personnel des passagers aériens contenues dans les PNR devront être traitées dans un but spécifique et n’être utilisées ou communiquées ultérieurement que dans la mesure où le but unique du transfert est de prévenir et de combattre le terrorisme et les crimes liés au terrorisme, d’autres crimes graves, y compris la criminalité organisée;
-le principe de proportionnalité : le type de donnes à fournir doit être clairement défini : il s’agit d’un maximum de 34 catégories de données des PNR consultables par les autorités américaines, qui ne pourront en aucun cas être modifiées. Les informations personnelles supplémentaires recherchées par suite directe de l’examen de données PNR par le Bureau américain, ne seront obtenues que par des moyens légaux. En règle générale, les PNR seront effacés au terme d’un délai de 3 ans et demi, sauf les données consultées dans le cadre d’investigations spécifiques ;
-le principe de transparence : le Bureau des douanes américain devra informer les voyageurs sur la finalité du transfert et du traitement ultérieur des données et devra fournir aux intéressés l’identité du responsable du traitement de leurs données ;
-le principe de sécurité : le Bureau des douanes américain devra garantir la sécurité technique et organisationnelle du traitement des données.
À noter qu’un droit d’accès et de rectification est prévu aux personnes ayant constaté une erreur dans les données transférées les concernant.
D’autres dispositions sont prévues en matière de transferts ultérieurs des données vers d’autres agences gouvernementales étrangères chargées de la lutte contre le terrorisme mais ces accès sont clairement limités et strictement règlementés.
Enfin des dispositions sont prévues pour permettre aux personnes dont les données ont été transférées de porter plainte contre des transferts éventuellement indus.
La présente décision fait sienne l’ensemble de ces principes et autorise, dans le strict respect de ces derniers, le transfert des données à caractère personnel, dans le cadre de l’accord UE-USA susmentionné. Les États membres gardent toutefois toute marge de manœuvre pour éventuellement suspendre le transfert des données vers le Bureau américain s’ils considèrent que les autorités américaines ne respectent pas les normes applicables en matière de protection des données, etc.
La décision fait l’objet d’une évaluation régulière.
ENTRÉE EN VIGUEUR : La décision entre en vigueur après notification mutuelle par les autorités compétentes des États membres et des États-Unis de l’ensemble des procédures nécessaires à cet effet. Elle devra être appliquée par les États membres 4 mois après cette notification et viendra à échéance au terme de 3 ans et demie.