Navigation path

Left navigation

Additional tools

La Commission obtient des garanties sur la protection des données personnelles des passagers des vols transatlantiques

European Commission - IP/04/650   17/05/2004

Other available languages: EN DE DA ES NL IT SV PT FI EL

IP/04/650

Bruxelles, le 17 mai 2004

La Commission obtient des garanties sur la protection des données personnelles des passagers des vols transatlantiques

La Commission européenne a adopté une décision formelle qui permettra la mise en oeuvre prochaine de nouveaux engagements du gouvernement américain garantissant la protection des données personnelles des passagers des vols transatlantiques. Par cette décision, la Commission estime que les données des passagers communiquées aux autorités américaines bénéficient de la "protection adéquate" requise au titre de la directive de l'Union européenne sur la protection des données en ce qui concerne les données envoyées aux pays n'appartenant pas à l'Union européenne. À la suite des négociations menées l'an passé entre la Commission et le Bureau américain des douanes et de la protection des frontières (US Department of Homeland Security), les autorités américaines s'engagent à collecter un nombre plus limité de données personnelles provenant des dossiers de réservation des passagers (Passenger Name Records: PNR) des compagnies aériennes, à conserver ces données sur une plus courte période et à en faire un usage plus limité pour répondre notamment à l'objectif commun de la lutte contre le terrorisme. La décision entrera en vigueur dès que le États-Unis auront signé leurs engagements et que l'accord international complétant la décision sur la "protection adéquate" aura été signé par le Conseil et les États-Unis.

Le commissaire chargé du marché intérieur, Frits Bolkestein qui a conduit les négociations pour le compte de la Commission a déclaré: "Une solution négociée n'est jamais parfaite, notamment lorsque vous êtes en présence d'une loi adoptée par le Congrès des États-unis dans la conviction bien compréhensible que la protection des États-unis contre le terrorisme est d'une importance vitale. Le secrétaire d'État pour la sécurité intérieure, Tom Ridge, a adopté une approche très constructive et nous sommes parvenus à une solution équilibrée qui a reçu l'assentiment des États membres. Le Parlement européen voit les choses différemment mais la Commission estime que la solution négociée améliorera la situation des citoyens et des compagnies aériennes de l'Union européenne en obtenant que les États-unis garantissent largement le respect de leurs droits en matière de protection des données et le renforcement de la certitude juridique. Nous ne recherchons pas une confrontation avec le Parlement qui nous a aidé à obtenir des améliorations de la part des États-unis grâce à la forte pression politique qu'il exerce depuis mars 2003. Nous agissons de la manière qui nous paraît la plus à même de garantir les objectifs que nous poursuivons depuis l'an passé, à savoir une meilleure protection des données et une protection juridique renforcée pour les compagnies aériennes auxquelles la législation américaine fait obligation de communiquer ces données, tout en prenant les mesures indispensables afin que les passagers ne souffrent pas de retards qui pourraient être évités.

L'autre cas de figure aurait été l'absence de nouvelles concessions de la part des États-Unis, l'incertitude juridique et l'annulation éventuelle des engagements des États-unis de protéger les données transférées - en d'autres termes, le chaos pour les compagnies aériennes de l'Union européenne".

Au lendemain des événements du 11 septembre 2001, le Congrès américain a voté une loi faisant obligation à toutes les compagnies aériennes exploitant des liaisons à destination ou au départ des États-Unis de permettre un accès électronique à leurs données passagers (PNR). Les États-unis ont accepté à plusieurs reprises de reporter l'application de ces dispositions aux compagnies aériennes basées dans l'Union européenne en raison des préoccupations exprimées par ces dernières avec le soutien de la Commission européenne, quant à la possibilité que cette loi aille à l'encontre de la législation européenne sur la protection des données. Les douanes américaines ont cependant manifesté leur intention de commencer à sanctionner les transporteurs aériens qui ne communiqueraient pas leur PNR à partir du 5 mars 2003. La Commission s'est alors engagée dans des négociations approfondies avec le ministère américain de la sécurité intérieure (US Department of Homeland Security: DHS) afin d'obtenir que les données PNR transférées aux États-Unis bénéficient d'une protection adéquate, suivant les dispositions la directive européenne sur la protection des données. Entre temps, la plupart des compagnies aériennes de l'Union européenne ont commencé à fournir les PNR aux États-Unis, comme la demande leur en était faite.

La Commission a annoncé en décembre 2003 qu'elle était parvenue à une conclusion satisfaisante de ses négociations avec les États-unis et était disposée à lancer les procédures formelles d'adoption d'une décision de la Commission déterminant que le Bureau des douanes et de la protection des frontières des États-unis (CBP) assure une protection adéquate (voir SPEECH/03/613). Les déclarations d'engagement ("undertakings") du CBP constituent de notables améliorations pour la protection des données, si l'on compare avec la situation actuelle. En particulier:

    un nombre plus réduit de données seront collectées et conservées par les autorités américaines. Une liste de 34 catégories a été convenue (les PNR de certaines compagnies aériennes contiennent plus de 60 champs) et un nombre limité de ces champs sera rempli dans la majorité des dossiers individuels

    les données sensibles telles que les commandes de repas ou des exigences spéciales de passagers pouvant par exemple donner une indication de la race, de la religion ou de la santé personnelle ne seront pas transmises ou si elles le sont, seront filtrées et supprimées ultérieurement par l'US CBP

    les PNR ne serviront qu'à la lutte contre ou à la prévention du terrorisme, de la criminalité liée au terrorisme et de la grande criminalité y compris la criminalité organisée de nature transnationale et non pas à une application beaucoup plus large de dispositions répressives, comme les États-Unis le souhaitaient à l'origine

    il n'y aura pas de partage "en vrac" des PNR, afin de répondre aux préoccupations concernant l'utilisation des PNR dans des systèmes de surveillance généralisée qui seraient en cours d'élaboration aux États-Unis. Le CBP ne partagera les données tirées des PNR que sur une base limitée au cas par cas et seulement pour répondre à des objectifs convenus. Lorsque des données provenant des États-Unis sont transférées dans de telles conditions strictes à des autorités de répression d'un pays en dehors des États-Unis, une autorité désignée dans l'Union européenne sera systématiquement notifiée

    la plupart des données PNR seront effacées après un délai de trois ans et demi (à comparer aux cinquante années maximales proposées à l'origine par les États-Unis). Les fichiers consultés seront conservés dans un fichier de données effacées pour une période supplémentaire de huit ans à des fins d'audit (alors que ces données devaient être conservées indéfiniment à l'origine)

    les autorités chargées de la protection des données dans l'Union européenne auront la possibilité d'examiner avec le Haut responsable de la vie privée (Chief Privacy Officer) du DHS les cas de passagers dont les plaintes concernant par exemple une possible utilisation abusive de leurs données ou la non correction des inexactitudes, ne sont pas réglées de manière satisfaisante par le DHS.

Pour que ces engagements soient appliqués, le DHS et une équipe conduite par la Commission et formée de représentants des autorités chargées de la protection des données des États membres et des autorités de répression, dresseront un bilan de la situation, au moins une fois par an.

Le système convenu entre les deux parties prévoit également la réciprocité lorsque l'Union européenne ou ses États membres imposeront des exigences similaires aux PNR des vols en provenance des États-Unis. Les États-Unis s'engagent également à ne pas appliquer de discrimination illicite à l'encontre de citoyens et de résidents non américains. Le système complet s'appliquera sur une période de trois ans et demi et sera prolongé si les deux parties en prennent la décision. C'est donc un nouvel arrangement provisoire que la Commission espère voir remplacé en temps voulu par des normes internationales convenues au niveau de l'Organisation de l'aviation civile internationale (OACI). L'Union européenne a récemment décidé d'engager des discussions dans le cadre de l'OACI sur l'utilisation des PNR au titre de la sécurité aux frontières et dans les transports aériens.

L'amélioration de la protection des données et les autres avantages attendus seront réalisés par la mise en place de deux instruments juridiques: le premier est la décision adoptée par la Commission en vertu des pouvoirs qui lui sont conférés par l'article 25, paragraphe 6 de la directive sur la protection des données, pour déterminer que l'US CBP, bénéficiaire et "propriétaire" des données aux États-Unis assure une "protection adéquate", sur la base de ses engagements. Le second est un accord international bilatéral entre l'Union européenne et les États-Unis qui complète la "constatation d'un niveau de protection adéquat" et couvre des aspects tels que la non discrimination, la réciprocité et l'accès direct de l'US CBP aux bases de données des compagnies aériennes tant que l'UE n'utilisera pas de système de transfert de données de ce type ainsi que l'adoption par la législation européenne de l'exigence américaine imposée aux compagnies aériennes de fournir les données PNR. Il incombe aux ministres de l'Union européenne de conclure l'accord international conformément à l'article 300, paragraphe 3 du traité. Les engagements américains et les améliorations qui en résulteront prendront effet dès que la décision sur le niveau de protection adéquat et l'accord international entreront en vigueur.

Une grande majorité des États membres soutient la démarche de la Commission. Le Parlement européen en revanche a adopté le 31 mars 2004 une résolution dans laquelle il considère que les déclarations d'engagement des États-Unis ne constituent pas une protection adéquate et invite instamment la Commission à revenir sur sa décision et à renégocier un accord plus important avec les États-Unis. Le Parlement se réserve le droit de saisir la Cour de justice si la Commission maintient ses objectifs. Le 21 avril, le Parlement a également décidé de demander à la Cour à se prononcer sur la question de savoir si l'accord international n'aurait pas dû être soumis au Parlement pour accord en raison du fait qu'il modifie la directive sur la protection des données.

Selon la jurisprudence de la Cour de justice, la demande d'avis de la part du Parlement européen sera sans objet si l'accord est conclu par le Conseil. Toutefois, le Parlement aurait alors la possibilité d'exercer son droit de recours visé à l'article 230 du traité pour obtenir l'annulation de l'accord international ou de la décision concernant le constat du niveau de protection adéquat ou des deux dossiers.

Pour d'autres précisions sur la décision, consultez le site web Europa:

http://ec.europa.eu/internal_market/privacy/adequacy_fr.htm


Side Bar

My account

Manage your searches and email notifications


Help us improve our website