La collecte et la transmission des données des voyageurs

Depuis les attentats du 11 septembre 2001, les Etats-Unis mènent une politique sécuritaire obsessionnelle.

Les Etats-Unis ont en effet adopté, dans le cadre de la lutte contre le terrorisme ainsi que contre les actes criminels, un certain nombre de mesures. Le 19 novembre 2001 une loi sur la sécurité de l’aviation et du transport (The Aviation and Transportation Security Act) ainsi qu’une loi renforçant les conditions d’entrée sur le territoire américain du 5 mai 2002 (Enchanced Border Security and Visa Entry Reform Act) ont été élaborées. Cette législation prévoyait qu’à compter du 5 mars 2003 les compagnies aériennes devaient transmettre certaines informations concernant leurs passagers sous peine de contrôle renforcé voire de sanction (amendes, remise en cause du droit d’atterrir)de la part des autorités américaines. Cette collecte d’informations personnelles a pour but d’alimenter une base de données fichant les passagers.

Les données personnelles, peuvent être définies comme « les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ». Mais la Directive européenne de 1995 sur la protection de données personnelles les définit plus simplement et plus largement en visant « toute information concernant une personne physique qui sera identifiée ou identifiable ».

Différents systèmes, tels APIS (système d’information anticipée sur les passagers), la transmission du PNR (Passenger Name Record) ou le système CPPS et CAPPS II (Computer Assisted Passenger Pre-screening system ou système assisté par ordinateur de pré-contrôle des passagers) ont été élaborés permettant de collecter un nombre toujours croissant d’informations.

Les données transmises par les compagnies aériennes européennes sont des données relatives à des personnes physiques identifiées. Elles font l’objet d’un traitement par les compagnies aériennes sur le territoire de l’Union Européenne (collecte, enregistrement, modification, conservation, utilisation, communication…). Par conséquent ces données sont soumises à la protection de la directive 95/46/CE d’octobre 1995 dont l’article 25 prévoit notamment que de telles données ne peuvent être transférées qu’en présence de garanties adéquates offertes par le pays tiers. Or en l’état du droit américain actuel une telle protection n’est pas offerte puisqu’il n’existe pas de législation spécifique relative à la protection des données personnelles .

La communication de telles données seraient donc attentatoires au droit à la vie privée tel qu’il est défini par la directive, l’art 8 de la Convention Européenne des Droits de l’Homme, ainsi que les art 7 et 8 de la Charte des Droits Fondamentaux de l’Union Européenne.

Cette nouvelle réglementation pose donc un dilemme pour les compagnies aériennes qui se voient partager entre l’obligation de respecter de la directive 95/46/CE ainsi que les autres normes européennes d’une part et d’autre part, celle de respecter la loi américaine sous peine de sanctions. Comment concilier les nécessités de la lutte anti-terroriste, le respect de la vie privée et les intérêts commerciaux des compagnies aériennes ?

Il est évident qu’il est nécessaire de mettre en place une protection adéquate face au danger de la transmission des données des passagers ( I ), cependant, un affrontement transatlantique subsiste entre Bruxelles et Washington qu’il est impératif de dépasser par une conciliation des deux points de vue ( II ).

I / La nécessité de la mise en place d’une protection adéquate face au danger de la transmission des données des voyageurs

A/ La transmission des données contenues dans le PNR : une source d’atteinte à la vie privée des voyageurs.

Les données personnelles des passagers collectées par les compagnies sont de plus en plus importantes et comportent des risques pour lesdits passagers.

1) Les données concernées :

Le nombre de données collectées a évolué depuis les attentats du 11 septembre 2001.

A l’origine, il existait le fichier APIS (système d’information anticipée sur les passagers), comprenant les nom, prénom, sexe, numéro de passeport, nationalité ainsi que date de naissance du voyageur. Ces informations collectées sur les passagers devaient parvenir aux autorités d’immigration américaine 15 minutes avant le décollage.

Depuis le 25 juin 2002, la transmission du PNR est demandée par les Etats-Unis. Les douanes américaines ont ainsi accès à une quarantaine données personnelles, dont les noms, numéros de téléphones et de carte bancaire (avec sa date d’expiration), adresses (e-mail et physique, plus celles des proches ou de l’employeur), dates et lieux de naissance, préférences alimentaires (casher, hallal…), personnes avec qui on voyage enregistrées dans le même dossier, éventuels problèmes médicaux, itinéraires, historique de leurs voyages antérieurs ainsi que toute autre donnée d’intérêt général (comportements suspects, apparence physique etc.) La transmission du PNR peut donc contenir des données sensibles dont le traitement est interdit par la loi de 1978 ainsi que la directive de 1995 (article 8§2.a)

Depuis 2001 il existe un nouveau système de surveillance, CAPPS II (the computer assisted passenger pre-screening program) qui remplace CAPPS, un système jugé lourd, incomplet et inefficace, qui exploitait depuis 1996 une liste de suspect présentant « un risque de piraterie aérienne, de terrorisme ou une menace pour les compagnies ou la sécurité des passagers ». Quant à lui CAPPS II vise à collecter des données difficiles à obtenir, afin d’attribuer un code couleur à chaque passager évaluant son degré de dangerosité potentielle : vert : le passager peut accéder à l’avion jaune : le passager est un risque potentiel et sera questionné rouge : le passager est considéré à haut risque et ne peut embarquer. Ces trois couleurs sont attribuées par la collecte de différentes données, à savoir le dossier classique de chaque passager (destination, adresse, date de naissance, numéro de carte de crédit, choix d’un repas spécial etc.) ainsi que des données relatives aux comptes bancaires, au casier judiciaire ainsi qu’au niveau d’endettement. Ce système avait posé problème avec l’affaire Jet Blue révélée en septembre 2003 et dans laquelle un sous-traitant de l’armée américaine avait utilisé les dossiers de cinq millions de passagers de la compagnie aérienne à bas prix, à leur insu, et ce, afin de tester CAPPS II. Cette affaire a fait scandale et selon les ONG elle est liée à un autre projet de surveillance d’Etat très controversé : le Terrorism Information Awareness Program. Dans ce test, les itinéraires, noms, prénoms, adresses, numéros de téléphone des passagers étaient croisés avec leurs numéros de sécurité sociale, nombre d’enfants, occupations, revenus et informations concernant leurs véhicules CAPPS II est également en cours de test dans trois aéroports américain, dont les noms sont gardés secrets, avec le concours de la compagnie Delta Air Lines. Il remplacera le système actuel de filtrage au milieu de l’année 2004.

Toutes ces données sont échangées par transfert électronique et non par un accès direct des douanes américaines aux bases de données des compagnies aériennes européennes.

2) Les risques :

  • L’utilisation des données : Les associations de défense des libertés craignent une surveillance généralisée de la société. Selon la CNIL et la directive de 1995, le transfert de données vers un pays tiers ne peut s’effectuer qu’à condition que celui-ci offre un niveau adéquat de protection de ces informations. Même si les Etats-Unis se sont engagés à utiliser les données de manière appropriée, les données collectées sont transmises à IBIS (Interagency Border Inspection System), une base de données centralisée qui recense les personnes suspectes aux yeux de la police américaine, exploitée par les douanes américaines ainsi que le service d’immigration. IBIS est lui-même interconnecté avec les fichiers du FBI, auxquels peuvent accéder une vingtaine d’agences fédérales américaines (FBI, DEA, les services secrets, etc.), mais aussi Interpol. Le problème donc se situe dans le fait que ces données seront partagées avec d’autres autorités fédérales et que certaines d’entres elles pourraient être rendues publiques du fait des législations d’accès à l’information détenue par le secteur public. Il est donc difficile de s’assurer de l’utilisation appropriée des données collectées, d’autant plus que la loi américaine sur la protection de la vie privée ne protège que les données concernant les citoyens américains.
  • Les atteintes à la vie privée : La collecte des données contenues dans le fichier PNR relève de la sphère très personnelle du passager qui va bien au-delà du simple nom, prénom ou âge, ce qui est source de nombreuses atteintes à la vie privée. Il est possible par exemple, de connaître la religion ou l’ethnie de la personne à travers le type de repas demandé. Si le repas est casher, le passager sera juif ; s’il est hallal, le passager sera musulman, ce qui sera un indice de suspicion supplémentaire. Il peut également être possible de connaître la sexualité d’une personne, car l’identité des personnes accompagnant ainsi que l’adresse de la personne hébergeant sont transmises. Autre et dernier exemple, l’itinéraire de la personne voyageant sera connu, ce qui facilite la surveillance de ladite personne.

De plus, le système CAPPS qui dresse une liste de suspect, conduit à des erreurs du fait d’une homonymie, ce qui est vu comme une discrimination raciale par certains. Une confusion s’opère alors entre un terroriste et un passager qui se voit alors soupçonner à tort par les autorités. Outre le préjudice causé à ce voyageur, cela conduit à annuler des vols comme cela a été le cas à Noël concernant des vols Air France en direction des Etats-Unis. Cependant, le nouveau système CAPPS II viserait à éviter cette confusion en confrontant l’identité de chaque voyageur à diverses bases de données. Si CAPPS II peut éviter l’homonymie, on voit mal comment la confrontation au niveau d’endettement du passager, comme il est prévu, pourra renseigner sur son degré de dangerosité. De même, on peut se demander si la religion, l’ethnie ou l’engagement politique seront des critères d’évaluation de ladite dangerosité.

De plus, face au caractère très privé des données transmises (religion, coordonnées bancaires etc.), il faut s’assurer que le mode de transmission est sécurisé afin d’éviter toute interception, qui conduirait à une utilisation mal intentionnée desdites données.

Enfin, les Etats-Unis prévoient une durée de conservation des données assez longue ce qui pose problème pour les passagers qui seront fichés dans le cadre d’un fichier anti-terroriste.

La collecte de ces données est contraire à la législation française, loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ainsi qu’à la législation européenne.

B/ Protection indispensable des voyageurs face à la transmission de leurs données.

Dans le cadre du transfert de leurs données personnelles par les compagnies aériennes ainsi que les agences de voyages, les passagers ont des droits, sont couverts par une protection et ont également des recours à leur disposition.

  • Droit des usagers : La CNIL met à disposition du public une fiche pratique. Selon la CNIL, les passagers des compagnies aériennes ont un droit à l’information, un droit d’accès et rectification ainsi qu’un droit d’opposition.
  • le droit d’information : les compagnies aériennes ainsi que les agences de voyages doivent indiquer à leur client, dès la collecte des données, quelles sont les informations obligatoires ou facultatives, qui est le destinataire et la finalité du transfert. Par exemple, pour un voyage vers les Etats-Unis, les passagers devront être informés que leurs données seront transférées aux autorités américaines pour des raisons de sécurité.
  • le droit d’accès et de rectification : les passagers doivent être informés par les compagnies aériennes et les agences de voyages de ces droits. Ces derniers peuvent être exercés en s’adressant aux entreprises concernées qui sont dans l’obligation de communiquer les informations détenues. Mais reste à savoir si on peut avoir accès aux informations détenues par les autorités américaines, possibilité qui semble illusoire.
  • le droit d’opposition : Les voyageurs ne peuvent s’opposer au traitement de leurs données que pour des raisons légitimes. Les compagnies ainsi que les agences de voyages peuvent s’engager sur leur demande, à ce que leurs données ne soient utilisées que dans le but de fournir la prestation demandée. Cependant, face aux sanctions imposées par les Etats-Unis, il est difficile aux compagnies aériennes d’accéder à cette demande, comme nous le verrons plus loin.

2) La protection des voyageurs :

  1. Le soulèvement d’un mouvement de protection :

Plusieurs instances cherchent à protéger les voyageurs contre une atteinte à leur vie privée par le biais de la transmission du PNR et des données personnelles des passagers par les compagnies aériennes. Par exemple, en Europe le groupe de protection des personnes à l’égard du traitement des données à caractère personnel, appelé Groupe de l’article 29 (G 29), institué par la directive 95/46/CE du parlement européen et du conseil du 24 octobre 1995, s’élève contre les pratiques américaines.

En France, IRIS (Imaginons un réseau solidaire) ONG de défense de la vie privée a lancé le 5 mai 2003 une campagne contre le « transfert illégal de données personnelles concernant les voyageurs européens ». Iris invite les passagers à adresser des lettres de réclamation à l’ensemble des compagnies aériennes ainsi qu’à la Commission nationale de l’informatique et des libertés (CNIL) et est le relais français d’une campagne lancée au niveau européen par l’European Digital Rights (EDRI), une fédération d’associations de défense de la vie privée et des libertés civiles.

  1. La protection offerte par la loi de 1978

La loi de 1978 protège les passagers français. Selon la loi, la finalité de la collecte doit être précise. Les informations recueillies doivent être pertinentes, adéquates et non excessives par rapport à la finalité du traitement. En l’espèce, la CNIL considère que la transmission des données aux douanes américaines constituent un détournement de finalité, car collectées dans un but commercial, elles sont alors transférées dans un but sécuritaire

D’après la loi Informatique et Liberté, les informations nominatives qui sont traitées de manière automatisée ne peuvent être communiquées qu’aux destinataires mentionnés dans l’arrêté, la délibération instituant le traitement ou la norme de référence qui a fait l’objet d’ une déclaration simplifiée déposée à la CNIL. Les douanes américaines ne font pas partie des destinataires autorisés, car elles n’ont pas demandé d’autorisation à la CNIL.

Concernant le délai de conservation des données, la loi ne prévoit pas de délai fixe mais l’article 28 prévoit qu’elles ne pourront être conservées que pour la « durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées. « Les informations ne peuvent être conservées sous une forme nominative qu’en vue de leur traitement à des fins historiques, statistiques ou scientifiques ». Ainsi la longue durée de conservation de données par les douanes américaines est contraire à la loi de 1978.

  1. La protection des données au niveau européen :

La directive de 1995 est applicable au transfert par les compagnies aériennes des données personnelles vers les Etats-Unis. L’article 26 de la directive prévoit, même en l’absence d’un niveau de protection adéquat dans le pays tiers, quatre exceptions pouvant justifier le transfert des données vers les Etats-Unis. Cependant, le G 29 les rejette.

  • Il y a tout d’abord, le consentement indubitable de la personne. En effet, le transfert des données personnelles est autorisé si elle a donné son consentement express (article 2 de la Directive). Cette exception n’est pas acceptable dans la mesure où d’une part les compagnies transmettaient déjà les données et d’autre part le consentement est parfois difficile à obtenir du fait des réservations en groupe.

Puis, au vu de l’ampleur des données transmises, le transfert ne peut être justifié par sa nécessité pour l’exécution du contrat.

Ensuite, l’exception de transfert nécessaire à la sauvegarde d’un intérêt public important ne peut non plus être invoquée. En effet, la décision de transfert massif des données contrevenant à la directive de 1995, a été prise unilatéralement par un pays tiers pour des raisons d’ordre public qui lui appartiennent, ce qui ne peut-être acceptable.

Enfin, l’exception du transfert nécessaire à la sauvegarde de l’intérêt vital de la personne concernée n’est pas du tout convaincante, concernant les données des passagers.

Ainsi, les exceptions données par la directive sont assez restrictives et protectrices des données personnelles, mais cela n’empêche pas les Etats-Unis de passer outre.

L’article 6.1 de la Directive, interdit que les données collectées dans un but précis soient réutilisées pour une finalité autre.

Puis, concernant, la conservation des données, la directive ne prévoit aucune durée précise. Elle prévoit seulement que celle-ci « devront être conservées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement ». Or, les Etats-Unis prévoient la conservation pendant une durée qui excède la recherche de terroristes. Il avait en effet été prévu que pour CAPPS II la conservation allant jusqu’à vingt cinq ans.

Enfin, il est à noter l’adoption des principes de « Safe Harbor » (sphère de sécurité), promulgués le 1er novembre 2001, qui est une déclaration de droits relatives aux données personnelles, et qui reprend les principes de la Directive de 1995 comme la notification et le consentement, le caractère facultatif ou non des informations, la sécurité ou les recours.

3) Actions ouvertes en France :

Dans sa fiche pratique, la CNIL informe également les passagers des actions dont ils disposent. On peut tout d’abord saisir la CNIL d’une plainte par voie postale, en précisant l’objet de la réclamation ainsi que tout autre élément nécessaire. Puis on peut porter plainte auprès des autorités judiciaires, à savoir soit en s’adressant au commissariat de police ou à la gendarmerie du domicile qui transmettra la plainte au procureur de la république, soit en s’adressant directement au Tribunal de grande instance du domicile par simple lettre au procureur de la république.

Enfin, il est possible de saisir directement les autorités américaines en adressant une plainte au service des douanes et de la protection des frontières ou au service en charge de la sécurité des transports.

Les atteintes à la vie privée causées par le transfert des données des passagers vers Etats-Unis sont assez importantes. Il apparaît donc comme une nécessité de parvenir à renforcer la protection des voyageurs et de leurs données, ce que tente d’obtenir l’Union Européenne.

II Un affrontement transatlantique sur les fichiers de passagers

A) Une négociation nécessaire entre Washington et Bruxelles

Les dispositions de la loi américaine sont contraires à celles de la directive du 24 octobre 1995 sur la protection des données personnelles. En effet la commission européenne estime que les USA ne fournissent pas un niveau adéquat de protection des données transmises exigé par l’art 25-1 de la directive. Plus qu’une véritable politique sécuritaire, la lutte contre le terrorisme équivaut à la protection de l’ordre public américain. Par conséquent les Etats-Unis éludent les protections garanties par les droits fondamentaux au profit de la protection de l’ordre public ; ce qui leur permet d’adopter des lois « dérogatoires » au droit commun. Or le paragraphe 6 de l’art 25 prévoit que la commission peut considérer que le niveau de protection est adéquat dans un pays donné, en raison de sa législation interne ou de ses engagements internationaux. Initiative de la négociation La CNIL a alerté le Premier Ministre Français sur les dangers d’une telle communication des dossiers passagers pour que le Gouvernement agisse au niveau des instances européennes. Suite à cela, le Groupe des commissaires européens en charge de la protection des données (crée selon l’art 29 de la directive 95-46Cce du 24 octobre 1995) a rendu un avis du 24 octobre 2002 sur le caractère disproportionné et excessif des transmissions d’information vers les Etats-Unis.

  • Objectif de la négociation il s’agit d’établir un cadre juridique stable à la communication de données vers les autorités américaines en charge du contrôle aux frontières. Ce cadre est nécessaire car il y a une situation d’inégalité des forces entre les USA et l’UE. En effet le FBI peut désormais consulter et stocker les PNR des vols européens vers les Etats-Unis. Un droit de regard qui est refusé aux polices de l’UE si elles ne sont pas mandatées par un juge. Or pour l’instant Bruxelles est dans une situation délicate car que compagnies aériennes d’Europe sont dans l’obligation de violer profit de les règles européennes de protection de la vie privée sous la pression américaine.
  • Déroulement des négociations Le 18 février 2003, la commission a rendu un avis favorable provisoire à la transmission de données du PNR. Or cet avis avait été dénoncé le 13 mars par une résolution du Parlement .En effet sur cette question les deux hautes instances européennes sont en désaccord. c’est alors que les autorités américaines communiqué le 22 mai 2003 de nouvelles dispositions « Undertaking of United States Bureau of Customs and Border Protection and the United States transprtation security administration » le 13 juin 2003 un avis « des autorités de protection sur le transfert des données passagers vers les USA » précise les garanties devant compléter les engagements américains afin que les données communiquées puissent bénéficier d’un niveau adéquat de protection prévu par la directive. Cet avis a été rendu par la G29 qui a mis en avant plusieurs conditions à plusieurs niveaux. Au niveau de la Proportionnalité La catégorie des données transférables doit être précise : le G29 exclu données non indispensables et toutes les données sensible Le moment du transfert doit se faire 48 H avant le décollage la durée de conservation des données ne doit se faire que sur une période courte au lieu des 7 à 8 ans proposés par les USA
  • Méthode de transfert Le G29 plébiscite la méthode du « putch ». Cela signifie que les données sont sélectionnées et transférées par les compagnies aériennes aux administrations US ce qui permet de filtrer à la source les informations transmises. Cependant ce mode de transmission coûte cher. Le groupement rejette le système du « pull » les autorités US ont un accès en ligne direct aux bases de données des compagnies aériennes et des systèmes de réservation.
  • Les Finalités Cette collecte doit être limitée à la lutte contre le terrorisme et autres « graves crimes et délits » qui doivent être en rapport avec le terrorisme. Enfin le G29 préconise la nécessité de mettre en œuvre de manière effective les droits des personnes concernées ainsi qu’un contrôle par une tierce partie indépendante

En réponse à cela Washington rappelle tout de même que le respect de la vie privée fait partie de la législation soutenue par des codes de bonne conduite. Ainsi, les entreprises américaines peuvent être poursuivies en cas de violation de ces codes et condamnées à de sévères peines. Ainsi , les Etats-Unis affirment leur attachement à une politique fondée sur l’autorégulation. Ils affirment leur volonté de continuer les discussions avec les autorités européennes. Ils souhaitent alors que les critères utilisés par la commission pour apprécier le caractère adéquat du niveau de protection « soient suffisamment flexibles » pour s’adapter à la vision américaine.

Enfin la Communication de la commission du 16 décembre 2003 rend compte des résultats des négociations avec les Etats-Unis et pose les bases d’une législation uniformisée pour l’UE. La Proposition de la commission :

  • elle considère que les garanties offertes par les USA sont adéquates.
  • il est nécessaire d’établir un accord bilatéral avec les USA (l’article 300 paragraphe 3, premier alinéa du Traité sur lequel le parlement devra se prononcer)
  • un accord multilatéral au sein de l’Organisation Internationale de l’Aviation Civile doit également être mis en place pour les demandes d’autres Etats hors de l’Union tel que le Canada.
  • Les Résultats des discussions avec les USA : 34 données seront transférées au lieu de 38 demandées Données sensibles sont détruites après transmission L’utilisation des données est limitée à la lutte anti-terroriste et à la criminalité internationale Elles ne seront utilisées que par le service du contrôle aux frontières Leur conservation ne doit excéder plus + de 3 ans et demi suivant l’accord envisagé Un contrôle annuel pourra être effectué par la Commission de l’application aux USA des règles adoptées Enfin un projet de création d’un organe européen de transfert des données passager aux USA a été envisagé. En attendant la commission suit les recommandations du G29, concernant le système du « push » et s’engage si cela est nécessaire, d à prendre les initiatives appropriées pour assurer le financement, sur les ressources existantes du budget communautaire, d’une aide à la mise au point d’un tel système Le G29 se réunit le 29 janvier 04 sur la viabilité de telles dispositions.

Or initialement la question de transfert de données personnelles, dans un cadre commercial, vers les Etats-Unis avait déjà soulevé la question de la protection adéquate des données personnelles prévue par l’article 25- 1 de la directive. Le ministre du Commerce américain avait entamé des négociations avec la Commission Européenne dont le résultat a été l’adoption des principes « Safe Harbor » ou « Sphère de sécurité » le 26 juillet 2001. Il s’agit d’un corps de principes protecteurs sur le traitement des données personnelles en matière commerciale. Ce texte a été promulgué le 1er novembre 2001 mais les sociétés semblent avoir une attitude attentiste face à ce projet car elles ne sont peut être pas convaincues par le texte lui-même. Cela montre qu’une négociation simple avec les USA n’aurait pas beaucoup d’effet sur la question.

B) Les conséquences de l’obsession sécuritaire américaine sur la France

La position de la Commission Nationale Informatique et Liberté par rapport à la loi de 1978 Informatique et Liberté

  • L’influence de la CNIL La CNIL n’a pas le pouvoir, selon la loi, d’autoriser ou d’interdire à Air France, par exemple la transmission de telles données. Elle a tout de même alerté le Premier Ministre sur le caractère disproportionné de la transmission de telles informations vers les USA pour que le Gouvernement français soit à l’initiative des négociations entre Bruxelles et Washington. D’autre part il est important de souligner que la CNIL fait partie du groupe des commissaires européens G29 institué par la directive de 1995.
  • La position de la CNIL La CNIL s’oppose aux les lois adoptées par Washington les considère comme contraires d’une part à la législation européenne mais aussi à l’esprit de la loi Informatique et Liberté de 1978. Il est clair que le transfert de données personnelles est légal en droit français et il doit faire l’objet d’une déclaration auprès de la commission. Or les données demandées par les USA dépassent le cadre des données transmissibles car le PNR contient des données sensibles… ( comme nous l’avons déjà vu plus haut) En tout état de cause, il est nécessaire que les personnes concernées soient informées dès la collecte de l’objet spécifique du traitement aux Etats-Unis, ainsi que des destinataires des données. Les compagnies aériennes devront prendre toutes les diligences nécessaires pour assurer un minimum de garantie d’intégrité des données collectées.
  • L’ultimatum de Washington Les dispositions américaines prévoient qu’en cas de non transmission des informations requises ou de transmission d’informations fausses ou incomplètes les compagnies aériennes s’exposent à de lourdes sanctions, notamment la privation des droits d’atterrissage et des amendes pécuniaires très dissuasives qui s’élèvent élèvent à plus de 5 000 euros. Mais en pratique, lorsque certaines compagnies ont tenté de s’opposer au système, leurs passagers ont fait l’objet de contrôles aux frontières beaucoup plus longs alors que les passagers des compagnies plus conciliantes n’ont subi aucun contre temps. A partir du 5 mars 2003, les autorités américaines ont mis en place un véritable ultimatum imposant aux compagnies aériennes de communiquer aux services de douane et de sécurité américains les données personnelles détenues dans le fichier PNR pour les voyageurs allant ou transitant par les Etats-Unis, contre la menace d’une interdiction d’atterrir sur le sol américain. Les compagnies aériennes françaises et européennes Les compagnies aériennes françaises et européennes n’ont pas résisté longtemps au chantage de Washington. En effet, la plupart transmettent déjà les informations du fichier PNR aux autorités américaines alors même que la législation européenne leur interdit ce transfert. Il a été établi que, depuis le 5 mars 2003, la base de données d’Amadeus System (consortium informatique qui traite l’immense majorité des réservations sur des vols transitant par l’Europe) est ouverte aux douanes US, suite à une demande conjointe d’Air France, Lufthansa, Iberia et British Airways, qui sont à la fois les principaux actionnaires et les principaux clients d’Amadeus. (cela touche au problème de mettre en place le système du « push » et non du « pull ») Actuellement les compagnies qui ne fourniraient pas aux autorités américaines un accès à leurs fichiers passagers (PNR) dans les 15 minutes suivant le décollage de leurs avions pourraient subir une amende de 6 000 $ par passager et se voir interdire l’atterrissage aux États-Unis.

Elles sont donc obligées de violer la réglementation de Bruxelles pour satisfaire Washington, même si elles risquent de subir des attaques en justice de la part de leurs propres clients. La CNIL recommande une information des passagers quant à la collecte et à la transmission de ces informations. Air France, souhaitant jouer sur la transparence, souligne que l’information figure bien sous le chapitre « Données personnelles » des conditions générales de vente de la compagnie française. On peut y lire que « l’intégralité des informations personnelles que les clients (d’Air France, ndlr) lui communiquent au moment de la réservation seront directement accessibles aux autorités américaines. » La question est donc de savoir si le consommateur voyageur saisi bien toutes les conséquences de la transmission des données le concernant. Les passagers devraient recevoir, avant d’acheter leurs billets d’avion, une information complète et exacte sur les utilisations qui sont faites de leurs données PNR et puissent ainsi être à même de faire un choix éclairé. Les opérateurs devraient obtenir systématiquement le consentement des passagers au transfert de leurs données. Or en cas de refus de la part du passager celui-ci ne serait pas admis à prendre le départ vers les cieux américains.

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.