La gestion des données personnelles des étrangers arrivant sur le sol américain

La gestion des données personnelles

des étrangers arrivant sur le sol américain

Récemment nous avons entendu parler du véto de l’Europe concernant l’envoi des données dite « PNR » aux Etats-Unis car il n’y avait pas de garanties suffisantes quant à leur confidentialité dans leurs traitements. Puis des garanties ont été données, et aujourd’hui, dès que l’on part pour les Etats-Unis, notre compagnie aérienne doit envoyer ses données passagers.

Formalités pour le passage de l’immigration

Lors de ce fameux passage, on devait habituellement remplir les deux formulaires, l’un pour la douane et l’autre pour l’immigration (formulaire I94 W). A partir du 12 janvier 2009, le formulaire I94W qui était auparavant rempli dans l’avion a été remplacé par une nouvelle procédure (Electronic System for Travel Authorization) qui doit avoir été effectuée par internet 72h minimum avant le départ et qui sera valable pour deux ans. Les voyageurs dont le séjour n’excéde pas 90 jours devront toujours remplir le fameux papier vert (formulaire I-94W) de dispense de visas et dont on accroche une partie dans le passeport.

Aujourd’hui, si les séjours d’une semaine dans une ville touristique ne posent pas de problème pour le passage de l’immigration, il n’en est pas de même pour des séjours excédant un mois dans une ville non touristique. Le passage de l’immigration peut s’avérer plus épique, voir même accompagné d’un séjour – certes court – dans un bureau de l’immigration. Est-ce que ce tri des passagers dès leurs arrivée aurait un lien avec l’envoi des données dites « PNR » ?

C’est en allant visiter le musée d’Ellis Island que je me suis rendue compte que la communication des données des passagers ne datait en réalité pas d’hier.

Un peu d’histoire…

Ellis Island est une petite île au large de Manhattan, comportant de nombreux bâtiments en briques, et se trouve à coté de Liberty Island, l’île de la célèbre statue de la liberté. Elle fait partie de la ville de Jersey dans le New jersey mais également de la ville de New-York.

Ellis Island fût crée en 1892 quand les Etats-Unis prirent conscience des enjeux de l’immigration importante à cette époque sur leur territoire, et notamment des enjeux sanitaires. Les bureaux de l’immigration ouvrirent donc le 1er janvier 1892 à Ellis Island et fermèrent le 12 novembre 1954. Les passagers de troisième classe et de l’entrepont était obligatoirement envoyés sur cette île afin d’y subir un examen médical et un interrogatoire.

Pendant l’ensemble de ces années, Ellis Island a vu défiler plus de 12 millions d’immigrants. Elle constituait une première étape (ou la dernière) d’un long voyage pour arriver aux Etats-Unis. Elle était d’ailleurssurnommée  l’île de l’espoir et l’île des larmes. C’était une sorte de petite ville avec un hôpital pour les personnes malades, et se trouvant dans l’attente de savoir si elles pourraient rentrer sur le territoire. Il y avait également un endroit pour se restaurer, pour changer de l’argent, prendre des billets de train…

Les formalités à Ellis Island

En arrivant dans ce hall gigantesque, on nous oriente immédiatement vers les salles où les immigrants devaient être observés et examinés par des médecins. Un immense hall assez déstabilisant, la vue de quelques bureaux au fond de cette immense salle où figuraient d’immenses manifestes que les compagnies maritimes devaient fournir aux agents de l’immigration américaine, avec tous les renseignements sur les passagers de troisième classe et de l’entrepont.

Au fil du temps, l’immigration se durcit aux Etats-Unis avec plusieurs lois stigmatisant certaines catégories de personnes ou instaurant des quotas (comme en 1924 avec les lois sur les quotas d’immigration de Johnson-Reed ou encore l’Acte sur la sécurité interne de 1950 qui interdit aux membres des organisations communistes et fascistes d’immigrer aux États-Unis).

Petits descriptif des données dites « PNR » aujourd’hui

Les données PNR peuvent se définir comme étant toutes les données qu’une compagnie aérienne peut détenir lorsqu’un client effectue sa réservation auprès de la compagnie. Cela peut être par exemple les renseignements sur l’agence de voyage auprès de laquelle la réservation est effectuée ou encore les services demandés à bord tels que le numéro de place affecté à l’avance, les repas (végétarien, asiatique, cascher, etc.) et les services liés à la santé (diabétique, aveugle, sourd, assistance médicale etc.).

C’est la loi américaine du 19 novembre 2001 sur la sûreté de l’aviation et des transports (Aviation and Transportation Security Act) qui créa l’obligation de transmission par les compagnies aériennes assurant le transport de passagers au départ, à destination ou via les États-Unis de transmettre l’ensemble des données PNR de leurs passagers. Cette loi à été prise juste après le choc que les attentats du 11 septembre 2001 a créé aux Etats-Unis, la volonté à cette époque était de sécuriser au maximum le transport aérien et les personnes arrivant sur le sol américain.

Cependant l’envoi de ces données a été considéré, après le premier accord passé entre l’Europe et les Etats-Unis en 2004, comme ayant un caractère trop personnel pour être transmis aux autorités américaines sans avoir de garanties suffisantes quant à la protection de ces données. La commission européenne, le 29 mais 2004, a rendu une décision concernant le niveau adéquat de protection de ces données qui comprenait les recommandations suivantes :

  • un nombre plus réduit de données collectées et conservées par les autorités américaines (34 catégories de données sont transférées),

  • les données sensibles permettant de révéler des indications sur la religion ou la santé ne seront plus transmises ou si elles le sont, elles seront filtrées et supprimées ultérieurement,

  • les données ne pourront être utilisées que dans le cadre de la lutte contre le terrorisme et la grande criminalité,

  • les données sont effacées après un délai maximal de trois ans et six mois, sauf pour les données consultées dans le cadre d’investigations spécifiques ou bien manuellement,

  • les autorités américaines informent notamment les passagers sur la finalité du transfert et des traitements et sur l’identité du responsable du traitement,

  • les personnes concernées disposent d’un droit d’accès et de rectification,

  • les autorités chargées de la protection des données dans l’Union européenne ont compétence pour assister les personnes dans le cadre d’une plainte auprès des autorités américaines,

  • le tri des données ne pourra être effectué par les autorités américaines qu’au cas par cas et pour des objectifs convenus,

  • le transfert des données vers d’autres autorités gouvernementales américaines ou étrangères se fera au cas par cas et après notification à une autorité désignée de l’Union européenne,

  • la Commission et des représentants des autorités de protection des données effectueront chaque année un bilan sur le respect de leurs engagements par les Etats-Unis.

Or la CJCE a annulé le 30 mai 2006 les deux décisions de la commission concernant l’accord avec les Etats-Unis, refusant ainsi l’envoi par les compagnies aériennes européennes les données de leurs passagers. La condition pour un nouvel accord semblait être la certitude d’une protection des données transmises aux services douaniers américains de niveau égal à celle accordée en Europe. La volonté était donc d’éviter que ces données soient accessibles dès leurs arrivée sur le sol américain à l’ensemble des services gouvernementaux sans confidentialité ni autorisation.

Aujourd’hui un autre accord à été conclu et les données concernées sont les suivantes:

1. Code repère du dossier API/PNR

2. Date de la réservation

3. Date(s) prévue(s) du voyage

4. Nom du passager

5. Autres noms figurant dans les données API/PNR

6. Itinéraire complet

7. Identification des billets gratuits

8. Billet aller simple

9. Informations sur l’établissement des billets

10. Données ATFK (automatic ticket quote)

11. Numéro du billet

12. Date d’émission du billet

13. Passager répertorié comme défaillant

14. Nombre de bagages

15. Numéro de l’étiquette de bagages

16. Passager de dernière minute sans réservation

17. Nombre de bagages pour chaque segment

18. Sur-classement demandé/non demandé

19. Historique des changements apportés aux données API/PNR pour ce qui est des éléments précités

Toutes les données qui sont donc citées ci-dessus sont transmises au Department of Homeland Security des États-Unis (ministère de la sécurité intérieure), qui les recevra, puis qui éliminera les informations sensibles figurant dans les données PNR et n’en fera pas usage, sauf dans les cas exceptionnels où des vies sont en jeu.

Concernant l’accès d’autres services à ces données, Il n’y aura pas d’accès direct inconditionnel à la base de données du Department of Homeland Security. L’accès sera strictement limité à ces fins et sera proportionné à la nature de l’affaire pour laquelle les données sont demandées. Les informations transmises par les passagers sur leurs habitudes alimentaires et utiles aux compagnies pour la distribution des plateaux repas pendant le vol seront transmises en même temps que les autres données mais seront considérées par le Department of Homeland Security comme des données sensibles.

Les données PNR seront conservées dans une base de données active pendant une durée de sept ans et par la suite sur une base de données inactive pendant une période de huit ans.

Bibliographie :

http://www.cnil.fr

http://www10.condor.com/tcf-fr/downloads/FAQ_USA_FR.pdf

http://www.libertysecurity.org/

Anne-Gaëlle LEFEBVRE

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.