Transfert aux USA de données personnelles contenues dans les dossiers passagers (PNR)

Résolution du TACD sur les dossiers de données passagers
Version française - 16 juin 2004 - Traduction IRIS - Également disponible en PDF
Voir la version anglaise (originale) avec la liste des signatures
 
Voir aussi le communiqué de presse d'IRIS du 28 juin 2004

Synthèse

Le Dialogue Transatlantique des Consommateurs (TACD), une coalition de plus de 60 organisations de consommateurs américaines et européennes, a appelé les États-Unis et l'Union européenne à suspendre un accord récent de divulgation des données personnelles de réservations aériennes pour les vols transatlantiques, tant qu'un autre accord ne sera pas intervenu pour réglementer cette divulgation afin de la rendre conforme aux principes établis de protection des données en vigueur au sein de l'Union européenne. Les nouvelles mesures de sécurité en préparation par les autorités de l'Union européenne et des États-Unis indiquent une absence de souci de l'opinion publique et un désir de contournement du débat démocratique.

Le TACD reconnaît la nécessité de mesures de sécurité raisonnables pour assurer la sûreté aérienne, mais considère que des systèmes de profilage et de contrôle des passagers, tels que CAPPS II et US-VISIT, présentent des risques significatifs d'atteinte à la vie privée des passagers voyageant à partir de l'Union européenne, et devraient de ce fait être limités par de sérieux garde-fous.

Ces risques comprennent : l'absence de garanties adéquates pour protéger les données passagers de divulgation indues et abusives ; le potentiel d'extension de l'utilisation des données à d'autres objectifs que la sécurité aérienne ; la possibilité de transmettre les données passagers à des pays tiers ne présentant pas un niveau de protection adéquat de la vie privée ; et la possibilité d'erreurs, sans droit significatif de correction ou réparation.

Afin de minimiser ces risques, les demandes de transfert de données par les autorités doivent être strictement ciblées et proportionnées aux buts poursuivis. En outre, le TACD considère : que les données passagers doivent être uniquement utilisées pour la lutte contre le terrorisme et les infractions liées ; que leur dissémination devrait être limitée aux autorités administratives, et leurs objectifs publiquement débattus et préalablement fixés ; qu'elles doivent être conservées pendant le temps nécessaire le plus court ; et que les passagers devraient avoir la possibilité légale d'accéder, de rectifier, de modifier et/ou supprimer leurs données personnelles. Les passagers doivent aussi se voir conférer les garanties de réparation, de compensation et de mécanismes de recours indépendants en cas d'abus ou de violation de leurs droits.

Résolution du TACD sur les dossiers de données passagers

Problème

Le Dialogue Transatlantique des Consommateurs (TACD) est fortement préoccupé par l'impact sur le droit à la vie privée des voyageurs du mode actuel de divulgation des données personnelles de réservations aériennes pour les vols transatlantiques de l'Union européenne vers les États-Unis.

Le problème est particulièrement important pour le TACD car son traitement par les autorités européennes et américaines atteste d'une absence de souci de l'opinion du public et du Parlement européen (la seule institution élue de l'UE) et une volonté de contournement du débat démocratique. Cette question est susceptible d'avoir un impact majeur sur les voyageurs des deux entités économiques, sur le futur des relations commerciales UE-USA, et sur la manière dont les informations de voyage seront échangées, et divulguées, par les autorités de police et les organisations commerciales à l'avenir.

Risques pour les consommateurs

Le TACD entend protéger les voyageurs européens et américains contre les violations de leur vie privée en tant que consommateurs, dues à une large divulgation de leurs dossiers passagers (Passenger Name Records ou PNR) et des informations préalables sur les voyageurs (Advance Passenger Information ou API) par les compagnies aériennes, les agences de voyage, les systèmes de réservation automatisés (Computerized Reservation Systems ou CRS), et les agrégateurs de données aux autorités de police des États-Unis et aux organisations commerciales.

• Nous ne nous opposons pas à des mesures de sécurité raisonnables pour assurer la sûreté aérienne. Toutefois, nous considérons que des systèmes de profilage et de contrôle des passagers, comme le système américain CAPPS II, présentent des risques d'atteinte à la vie privée des passagers voyageant à partir de l'Union européenne, et devraient de ce fait faire l'objet des garanties les plus fortes.

• L'utilisation des données contenues dans les dossiers passagers (PNR) des voyageurs aériens européens par le programme CAPPS II présente un potentiel d'extension, sachant que ces données peuvent être utilisées par les autorités américaines de police à des fins autres que la sécurité des avions et la lutte contre le terrorisme.

• La divulgation par le gouvernement des États-Unis des données des passagers aériens européens à des gouvernements et autorités hors UE et USA introduit un risque pour la vie privée de ces passagers lorsque les États tiers n'ont pas mis en oeuvre des mesures de protection de la vie privée, tant dans le secteur public que dans le secteur privé.

• L'absence de droits d'accès, de rectification, de correction et de suppression des données personnelles collectées et utilisées par les autorités américaines, ainsi que l'absence de mécanismes de compensation et de recours indépendants, augmentent les risques d'abus.

• S'agissant de la méthode de transfert des données, le seul système acceptable de transfert est le système dit « push », dans lequel les données sont d'abord sélectionnées, puis transférées aux autorités américaines, plutôt que le système dit « pull », qui permet à ces dernières un accès direct aux systèmes de réservation des compagnies aériennes.

• Il y a eu récemment des divulgations extensives d'importantes quantités de données de voyage entre des entités américaines du secteur privé (compagnies aériennes, CRS, et sociétés de fouille de données), et de ces entités aux autorités américaines de police, sans autorisation légale et à des fins ratissant large. Cela montre l'absence de garde-fous adéquats pour prévenir les divulgations injustifiées des données des passagers, y compris les informations collectées auprès des voyageurs européens, et les abus potentiels.

• Le programme US-VISIT présente des risques pour la vie privée de nombreux voyageurs, lorsqu'il est doté de la capacité d'établir des liens avec les données collectées par les autorités américaines sur les passagers voyageant de l'Union européenne vers les États-Unis. Le traitement des données dans le cadre du système US-VISIT n'est pas protégé par les mêmes exigences (conformément à l'accord PNR entre l'UE et les USA de mai 2004) que celles qui s'appliqueraient à la divulgation, puis au traitement, des données passagers par l'administration américaine des douanes et de la protection des frontières.

• Les propositions de l'Organisation de l'aviation civile internationale (OACI) en vue de nouvelles normes pour les documents de voyage, combinées avec la législation actuelle et les propositions, tant aux États-Unis que dans l'Union européenne, de conformité aux standards de l'OACI, auraient de sérieuses conséquences en matière de vie privée. Ces propositions impliqueraient : la collecte et l'inclusion obligatoires des données PNR au-delà de ce qui est nécessaire pour les besoins commerciaux des compagnies aériennes ; la collecte obligatoire par les compagnies aériennes et/ou les agences de voyage des informations préalables sur les voyageurs (API) au-delà de ce qui est requis pour leurs objectifs commerciaux ; ainsi que le transfert obligatoire des données PNR et API aux autorités administratives et l'échange de ces données entre États, malgré l'absence de protections légales pour les données partagées avec ces États ou ces entités commerciales.

Résolution

Le TACD exhorte les gouvernements des États-Unis et des États de l'Union européenne à :

• Mettre fin à la divulgation des données personnelles des passagers aériens voyageant de l'Union européenne à destination des États-Unis, et à leur utilisation par le gouvernement américain entre autres aux fins de tester les systèmes de pré-filtrage comme le programme CAPPS II, jusqu'à ce que :
  • tous les problèmes de protection de la vie privée liés à la mise en oeuvre de ce programme aient été résolus de manière satisfaisante, suivant les recommandations du rapport de l'US General Accounting Office (la Cour des comptes américaines) de février 2004 ;

  • et les préoccupations spécifiques à l'Union européenne aient reçu réponse, suivant les recommandations du Parlement européen et du groupe de travail Article 29 des autorités européennes de protection des données.

• Suspendre la mise en oeuvre de l'accord PNR entre l'UE et les USA de mai 2004, jusqu'à ce que la Cour de justice des Communautés européennes ait examiné la compatibilité de la décision de la Commission européenne sur l'adéquation du niveau de protection des données garanti par cet accord, ainsi que celle de l'accord lui-même, avec les règles de l'UE, et jusqu'à ce que la Cour ait rendu sa décision sur la nécessité d'obtenir l'assentiment du Parlement européen sur cet accord avant son entrée en vigueur.

• Encourager le Congrès des États-Unis à évaluer les risques spécifiques vis-à-vis de la vie privée liés à l'utilisation des informations personnelles des passagers aériens et aux systèmes de pré-filtrage de ces passagers, et à déterminer s'ils recommandent des mesures législatives spécifiques.

• Interroger non seulement l'adéquation et les objectifs du régime encadrant le transfert des données passagers, mais également la réalité de sa mise en oeuvre. Ce régime peut en effet conduire à un système de surveillance globale pour des objectifs généraux d'application de la loi, ainsi qu'à une collaboration accrue entre le gouvernement des États-Unis et des sociétés commerciales en matière de projets de fouille de données sans garanties de protection adéquate de la vie privée. Les objectifs pour lesquels les données passagers sont collectées doivent être strictement définis et leur utilisation limitée à la lutte contre le terrorisme et les infractions liées.

• Établir un cadre législatif protecteur pour le transfert des données de compagnies aériennes aux autorités administratives américaines, qui soit compatible avec des principes forts de protection de données. Cela implique de :
  • Limiter les éléments de données transférés à ce qui est proportionné aux objectifs poursuivis ;

  • Assurer l'exactitude des dossiers et de l'appariement des dossiers des passagers avec les dossiers « suspects » ;

  • Limiter la rétention de données à des périodes courtes et proportionnées ;

  • Fournir des informations claires et compréhensibles aux passagers, y compris au sujet du contenu et de l'ampleur des données requises, des objectifs de la collecte et des destinataires des données, avant que leurs informations de voyage soient collectées ;

  • Garantir aux passagers l'exercice légal de droits d'accès, de rectification, de modification et/ou suppression de leurs données personnelles ;

  • Garantir aux consommateurs des mécanismes réellement indépendants de réparation, compensation, et recours en cas d'abus et de violation des droits des passagers ;

  • Déterminer à quelles agences et autorités américaines les données PNR seront divulguées ;

  • Rendre l'accord PNR UE-USA et les engagements américains légalement contraignants aux États-Unis, de sorte que les passagers aériens puissent obtenir réparation devant les tribunaux américains.

• Interdire les transferts de données passagers aux autorités administratives et policières des pays hors UE, à moins que celles-ci ne se conforment à l'accord PNR UE-USA ou à d'autres règles de partage d'informations présentant les mêmes exigences de protection des données.

• Suspendre la mise en oeuvre de l'accord PNR UE-USA jusqu'à ce qu'un mécanisme de mise en place du système de transfert de données dit « push » soit disponible.

• Évaluer les régimes de transfert de données passagers, les nouveaux standards relatifs aux documents de voyage, ainsi que les systèmes de pré-filtrage et d'identification biométrique des passagers, tels que les programmes CAPPS II et US-VISIT, dans le cadre de la négociation d'accords de protection de la vie privée des voyageurs. Des règles communes de protection des données devraient s'appliquer aux programmes interconnectés qui utilisent ou vont utiliser des données personnelles communes.

• Modifier les politiques de protection de la vie privée régissant le programme US-VISIT, de sorte que les voyageurs concernés à la fois par l'accord PNR UE-USA et le programme américain US-VISIT soient protégés par le même niveau de protection de la vie privée.

• Encourager toutes les autorités parties prenantes des débats sur les PNR à consulter les organisations de protection des consommateurs, et inclure des représentants des associations de consommateurs et des autorités de protection des données dans les discussions sur les propositions de l'OACI et autres standards pertinents et dans les délégations gouvernementales présentes aux réunions et groupes de travail de l'OACI, en particulier dans tous les cas où les standards proposés pourraient circonvenir ou altérer les législations et réglementations européennes en matière de protection du consommateur et de protection des données.

Historique et informations détaillées :

Pour des informations générales, veuillez consulter :

• Privacy International. Transferring Privacy: The Transfer of Passenger Records and the Abdication of Privacy Protection (février 2004).

Ainsi que les documents de référence suivants (NB. Certains ne sont disponibles qu'en Anglais) :

Commission européenne et Bureau des douanes américaines :

• Déclaration commune UE-USA concernant la transmission de données APIS/PNR des compagnies aériennes aux États-Unis (en Anglais). 17&18-02-03.

Parlement européen :

• Résolution du Parlement européen sur la transmission des données personnelles par les compagnies aériennes lors des vols transatlantiques (13 mars 2003).

Parlement européen, Commission des Libertés et des Droits des citoyens :

• Séminaire public : « La protection des données depuis le 11 septembre 2001 : quelle stratégie pour l'Europe> ? » (25 mars 2003).
• Rapport sur le premier rapport sur la mise en oeuvre de la directive relative à la protection des données (95/46/CE) (24 février 2004).
• Résolution du Parlement européen sur le projet de décision de la Commission constatant le niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens (PNR) transférés au Bureau des douanes et de la protection des frontières des États-Unis (2004/2011(INI)) (31 mars 2004).
• Rapport sur la proposition de décision du Conseil concernant la conclusion d'un accord entre la Communauté européenne et les États-Unis d'Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure (7 avril 2004).

Commission européenne :

• Communication de la Commission au Conseil et au Parlement - Transfert des données des dossiers passagers (Passenger Name Record - PNR) : Une démarche globale de l'Union européenne (16 décembre 2003).
• Proposition de Décision du Conseil concernant la conclusion d'un accord entre la Communauté européenne et les États-Unis d'Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure (17 mars 2004).
• Projet de Décision de la Commission relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis (incluant la 2e déclaration d'engagement de ce Bureau) (31 mars 2004).
• Décision de la Commission relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis (incluant la 3e déclaration d'engagement de ce Bureau) (14 mai 2004).

Conseil de l'Union européenne :

• Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE L 281 du 23-11-95, p. 0031-0050.
• Code de conduite de l'Union européenne pour les systèmes de réservation automatisés (Réglementation du Conseil (CEE)) No. 2299/89, 24 juillet 1989, JOCE L 220 du 29-07-89 p. 0001-0007.
• Directive sur les obligations des transporteurs de communiquer les données des passagers (27 avril 2004).

Groupe Article 29 de protection des données :

• Avis 6/2002 (WP66) sur la transmission aux Etats-Unis d'informations relatives aux passagers et autres données de lignes aériennes (24 octobre 2002).
• Avis 4/2003 (WP78) sur le Niveau de Protection assuré aux Etats-Unis pour la Transmission des Données Passagers (13 juin 2003).
• Avis 2/2004 (WP87) sur la protection adéquate des données personnelles contenues dans les dossiers des passagers aériens transférés au bureau des douanes et de la protection des frontières des Etats-Unis (US CBP) (29 janvier 2004).
• Discours de Stefano Rodotà, Président du groupe Article 29 de protection des données, présenté au Parlement européen, Commission des Libertés et des Droits des citoyens (25 novembre 2003).

Frits Bolkestein, Commissaire européen en charge du marché intérieur :

• Intervention sur les transferts de données de passagers aériens (PNR) de l'UE vers les États-Unis, présentée en session plénière du Parlement européen at the European Parliament's plenary session (Strasbourg, 12 mars 2003).
• Intervention devant le Parlement européen, Commission des Libertés et des Droits des citoyens (Bruxelles, 9 septembre 2003).
• Intervention devant le Parlement européen, Commission des Libertés et des Droits des citoyens (Bruxelles, 1er décembre 2003).
• Lettre au Secrétaire d'État américain à la sécurité intérieure, Tom Ridge (18 décembre 2003).

Déclarations d'engagement des États-Unis :

• Première version de la déclaration d'engagement du Bureau des douanes et de la protection des frontières des États-Unis et de l'Administration Américaine pour la Sécurité des Transports (22 mai 2003).
• Deuxième version de la déclaration d'engagement Bureau des douanes et de la protection des frontières des États-Unis (12 janvier 2004).
• Troisième version de la déclaration d'engagement Bureau des douanes et de la protection des frontières des États-Unis (14 mai 2004).

Département américain de la Sécurité intérieure :

• Notice of Privacy Act System of Records, 68 Fed. Reg. 69412 (12 décembre 2003)
• US-VISIT Program Privacy Policy (novembre 2003).
• US-VISIT Frequently Asked Questions (révision du 31 décembre 2003).
• US-VISIT Program, Increment 1, Privacy Impact Assessment (18 décembre 2003).
• Interim Final Rule on Implementation of US-VISIT, 69 Fed. Reg. 467 (5 janvier 2004).
• Redress Policy for US-VISIT (15 mars 2004).
• US-VISIT Fact Sheet (révision du 2 avril 2004).

United States General Accounting Office :

• Aviation Security. Computer-Assisted Passenger Prescreening System Faces Significant Implementation Challenges (février 2004).
  Également disponible sur le site de l'EPIC.
• Data Mining. Federal Efforts Cover a Wide Range of Uses (mai 2004).

Association du transport aérien international (IATA) :

• Advance passenger information (API) - a statement of principles. Document de travail soumis à l'OACI (10 mars 2004).
• Airline reservation system and passenger name record (PNR) access by States, document de travail soumis à l'OACI (15 mars 2004).

Organisation de l'aviation civile internationale (OACI) :

• Renseignements préalables concernant les voyageurs (RPCV), Note présentée par le Secrétariat (13 janvier 2004).
• Groupe de travail sur l'aviation du Conseil de l'Union européenne. Un cadre international pour le transfert des données PNR. Note présentée à l'OACI (13 février 2004).

US Department of Defense, Technology and Privacy Advisory Committee :

• Safeguarding Privacy in the Fight Against Terrorism (mars 2004).

US Congress, Congressional Research Service  :

• U.S. Visitor and Immigrant Status Indicator Technology Program (US-VISIT) (18 février 2004).

Conférence internationale des Commissaires à la protection des données et de la vie privée :

• Résolution relative aux transferts des données des passagers, 25e conférence internationale, Sydney (12 septembre 2003).

Réseau UE d'experts indépendants en droits fondamentaux (CFR-CDF) :

• Rapport sur la situation des droits fondamentaux dans l'Union européenne et ses États membres en 2002 (31 mars 2003).
• Rapport sur la situation des droits fondamentaux dans l'Union européenne et ses États membres en 2003 (janvier 2004).

Coalition d'organisations de défense des droits de l'homme et les libertés civiles :

• An Open Letter to the ICAO. A second report on 'Towards an International Infrastructure for Surveillance of Movement' (30 mars 2004).
  Voir aussi une présentation en Français sur le site d'IRIS.

Privacy International :

• Transferring Privacy and Inadequate Adequacy - Commission Fails in 'Negotiations' (mai 2004).

Electronic Privacy Information Center (EPIC) :

• Intervention de Cédric Laurant devant le Parlement européen, Commission des Libertés et des Droits des citoyens, au cours du séminaire public : « La protection des données depuis le 11 septembre 2001 : quelle stratégie pour l'Europe ? » (25 mars 2003).
  Également disponible sur le site de l'EPIC.
• Comments on the Department of Homeland Security's Notice of Privacy Act System of Records, Docket No. DHS/ICE-CBP-001 (12 janvier 2004).
• Comments on the Department of Homeland Security's Interim Final Rule on Implementation of US-VISIT, Docket No. BTS 03-01 (4 février 2004).
• Web page on the EU/US Passenger Data Disclosure
• Web page on Passenger Profiling
• Web page on US-VISIT
• Web page on Northwest Airlines' Disclosure of Passenger Data to Federal Agencies