Navigation path

Left navigation

Additional tools

Other available languages: EN DE

MEMO/03/53

Bruxelles, le 12 mars 2003

Transferts des données des dossiers passagers (Passenger Name Record - PNR) de l'UE vers les États-Unis: questions fréquemment posées

Qu'est-ce que le PNR et quelles données contient-il?

Le PNR est le nom générique des fichiers créés pour chaque voyage réservé par un passager. Ces fichiers sont stockés sur les bases de données de réservation et de contrôle des départs des compagnies aériennes, et permettent à tous les intervenants du secteur aérien (depuis l'agence de voyage jusqu'aux agents d'assistance en escale dans les aéroports en passant par les systèmes informatisés de réservation (SIR) et les compagnies aériennes) de reconnaître chaque passager et d'avoir accès à toutes les informations pertinentes concernant son voyage: vols d'aller et de retour, vols de correspondance (le cas échéant) services spéciaux requis à bord, etc.

Le nombre et la nature des champs d'information dans un système PNR varient d'une compagnie aérienne à une autre. Il existe environ 20 à 25 champs possibles, dont certains comprennent des sous-sections, soit un total d'une soixantaine de champs et sous-champs.

Pourquoi la Commission européenne a-t-elle discuté avec le bureau américain des douanes et de la protection des frontières (US Customs and Border Protection Bureau - CBP) du partage des données des PNR établis par les transporteurs aériens?

La loi américaine du 19 novembre 2001 sur la sûreté de l'aviation et des transports (Aviation and Transportation Security Act) a institué pour les compagnies aériennes assurant des liaisons de passagers au départ, à destination ou via les États-Unis l'obligation de donner aux douanes américaines, à leur demande, accès aux données des PNR figurant dans leurs systèmes de réservation et de contrôle des départs.

L'article 25 de la directive sur les données à caractère personnel (directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995) prévoit que les données à caractère personnel ne peuvent être transférées vers un pays tiers que si le pays en question assure un niveau de protection adéquat. Le paragraphe 6 de ce même article prévoit que la Commission peut adopter une décision confirmant que le niveau de protection est adéquat dans un pays donné, en raison de sa législation interne ou de ses engagements internationaux. La Commission est donc compétente pour les questions de relations extérieures soulevées dans le domaine des données à caractère personnel. La Commission a également des responsabilités directes en application du règlement sur les systèmes informatisés de réservation.

Les discussions entre les services de la Commission et l'US CBP ont pour objet de satisfaire les intérêts des États-Unis en matière de sûreté, et parallèlement de préparer le terrain en vue d'une décision de la Commission européenne concernant le niveau de protection aux États-Unis, bien que ceux-ci devront fournir quelques assurances et éléments supplémentaires à l'appui. La question se trouverait alors réglée à l'échelle européenne, de manière juridiquement contraignante et en assurant la certitude juridique nécessaire à toutes les parties prenantes.

Quand la Commission a-t-elle entamé les discussions avec le CBP, et quels sont les objectifs de ces discussions?

La Commission a soulevé la question dans ses contacts bilatéraux avec les États-Unis à partir de décembre 2001. À la suite de ces contacts, le CBP a accordé des prolongations de délai d'application jusqu'au 5 mars 2003 pour les compagnies aériennes se déclarant concernées par la directive européenne sur les données à caractère personnel. De hauts fonctionnaires de la Commission européenne et de l'US CBP (qui s'appelait encore US Customs) se sont rencontrés à Bruxelles les 17 et 18 février 2003. D'autres discussions ont eu lieu en février et début mars. Les deux parties sont convenues de travailler ensemble, à un arrangement bilatéral afin de concilier les exigences américaines avec celles de la directive de l'UE sur les données à caractère personnel, en application de laquelle (article 25, paragraphe 6) la Commission adoptera une décision.

La Commission considère également qu'un accord multilatéral dans le cadre de l'OACI est nécessaire à plus long terme, car il est difficilement envisageable que toutes les compagnies aériennes qui recueillent et traitent des données dans l'UE soient obligées de se conformer à une multiplicité d'accords imposés unilatéralement ou négociés bilatéralement.

Les discussions entre l'US CBP et la Commission se poursuivent. La Commission consulte à ce sujet le secteur européen du transport aérien.

La Commission a-t-elle conclu un accord avec l'US CBP?

Non, la Commission n'a conclu aucun accord avec les États-Unis. L'article 25, paragraphe 6 de la directive sur les données à caractère personnel confère à la Commission un pouvoir d'enquête sur l'adéquation du niveau de protection dans les pays tiers. Des discussions ont eu lieu avec l'US CBP, qui a donné certaines assurances, et les deux parties se sont engagées à poursuivre les discussions en vue d'établir une situation juridiquement plus sûre pour tous ceux auxquels s'appliquent l'obligation de donner à l'US CBP accès aux PNR.

Quel est l'effet de la déclaration conjointe de la Commission et de l'US CBP?

L'US CBP a indiqué qu'elle avait, depuis l'adoption de l'Aviation and Transportation Security Act le 19 novembre 2001, accès aux données des PNR des compagnies aériennes établies dans d'autres parties du monde et qui exploitent des liaisons à destination, au départ et via les États-Unis.

Dans le cas des compagnies aériennes exploitant des liaisons au départ des pays de l'UE et établies dans ces pays, il apparaît à la Commission, sur la base des engagements pris par les États-Unis dans la déclaration conjointe du 18 février 2003 et dans l'addendum du 4 mars que l'US CBP a accès aux données des PNR des vols transatlantiques depuis le 5 mars 2003. 2003 - la déclaration conjointe est disponible à l'adresse:

http://ec.europa.eu/external_relations/us/intro/pnr.htm

http://ec.europa.eu/internal_market/en/dataprot/adequacy/declaration-pnr_en.pdf

Quelles données du PNR sont mises à la disposition du CBP?

Comme indiqué dans la déclaration conjointe, l'US CBP demande l'accès aux données des PNR des personnes dont le voyage en cours inclut des vols au départ, à destination ou via les États-Unis. Toutes les étapes entre la réservation initiale et l'achèvement du voyage sont consignées dans le PNR.

Quid des données sensibles incluses dans le PNR?

L'US CBP s'est engagé à continuer à ne pas utiliser les données des PNR entrant dans les catégories indiquées comme sensibles à l'article 8, paragraphe 1 de la directive sur les données à caractère personnel (par ex. les données révélant l'origine ethnique ou les convictions religieuses ou celles relatives à la santé) pour identifier les personnes susceptibles de faire l'objet d'un examen à la frontière par le CBP. En outre, le CBP s'est engagé à mettre en place des filtres spéciaux dans ses systèmes afin de restreindre l'accès aux données de ce type qu'il collecte. Les autres utilisations de ces données par le CBP ou leur transfert à d'autres organismes chargés de faire respecter la loi, aux fins de la prévention ou de la lutte contre le terrorisme et d'autres activités criminelles graves (par ex. à l'appui d'enquêtes suscitées par d'autres informations), seront soumises à une procédure d'approbation spéciale impliquant le Deputy Commissioner du CBP.

L'US CBP demande-t-elle d'accéder aux données du PNR concernant le type de repas consommé par le passager ou son état de santé?

Ces informations sont recueillies par les compagnies aériennes afin de fournir des services spéciaux à certains clients, et peuvent donc être consignées dans certains PNR. L'US CBP a cependant indiqué que ces informations ne sont pas utilisées pour identifier les personnes susceptibles de faire l'objet d'un examen à la frontière par le CBP.

Le CBP peut-il obtenir les données contenues dans les PNR par d'autres moyens?

L'US CBP a indiqué qu'il pouvait déjà obtenir la plupart des données contenues dans les PNR en examinant le billet d'avion et d'autres documents de voyage lors de l'exercice de son autorité normale de contrôle aux frontières. En outre, les quelques catégories d'informations qui ne figurent pas sur ces documents peuvent en général être demandées oralement par le CBP au passager lors de l'examen à la frontière. Toutefois ce type de contrôle ralentirait considérablement le traitement des passagers au départ et à l'arrivée aux États-Unis. Selon l'US CBP, l'accès électronique aux données accélérera les formalités aux frontières et facilitera ainsi le trafic passagers légitime.

Des informations supplémentaires seront-elles à fournir lors de la réservation d'un billet pour satisfaire aux exigences de l'US CBP?

L'US CBP a indiqué qu'il ne demande aux compagnies aériennes de lui communiquer que les sections du PNR qu'elles incluent habituellement dans leur système de contrôle des réservations et des départs, et que les règles d'application de l'exigence relative aux PNR ne font pas obligation aux compagnies aériennes de remplir tous les champs disponibles pour les données des PNR.

D'autres organismes américains auront-ils accès aux données des PNR que l'US CBP obtient auprès des compagnies aériennes?

Le CBP a indiqué qu'aucun organisme à l'étranger ni au niveau du gouvernement fédéral, des États ou des autorités locales n'a directement accès aux PNR par l'intermédiaire de la base de données du CBP. Toutefois, le droit américain prévoit que d'autres autorités chargées de faire respecter la loi peuvent demander au CBP des informations figurant sur les PNR, et que le CBP a la faculté d'accéder ou non à une telle demande. L'US CBP s'est engagé, dans l'exercice de cette faculté, à ne fournir de données des PNR qu'à l'unique fin de la prévention et de la lutte contre le terrorisme et d'autres crimes graves.

L'US CBP s'est en outre engagé à ce que, lors de l'examen de l'opportunité de communiquer des données à un autre organisme chargé de faire respecter la loi, il s'assurera que l'objet officiel de la demande de transmission des données est conforme à l'objectif pour lequel l'US CBP collecte lui-même ces informations (prévention ou lutte contre le terrorisme ou d'autres crimes graves). En ce qui concerne les demandes de données des PNR classées "sensibles" en application de l'article 8 de la directive communautaire sur les données à caractère personnelle, l'US CBP s'est engagé à mettre en œuvre une procédure d'approbation spécifique impliquant le Deputy Commissionner avant de communiquer des données de ce type à d'autres organismes chargés de faire respecter la loi.

La loi américaine prévoit-elle une protection contre la divulgation de données du PNR concernant des ressortissants d'autres pays que les États-Unis et auxquelles l'US CBP a accès?

L'US CBP a indiqué que la divulgation de données du PNR auxquelles il a accès est régie d'une manière générale par le Freedom of Information Act (FOIA - loi sur la liberté de l'information), qui autorise l'accès public aux registres d'une agence fédérale américaine, sauf si ces registres (ou une partie d'entre eux) sont protégés de la divulgation par une dérogation prévue par le FOIA. L'US CBP considère les informations du PNR, quel que soit le pays d'origine de la personne concernée, comme des données sensibles et confidentielles, à caractère personnel dans le cas du passager, relevant du secret commercial dans le cas du transporteur aérien. L'US CBP prévoit dans ses règles de conduite que l'obligation de divulgation inscrite dans le FOIA ne s'applique pas à ce type de données (sous réserve de quelques exceptions restreintes dans le cas de demandes de la part des passagers concernés). L'US CBP s'est engagé à adopter cette position en relation avec toute action administrative ou judiciaire faisant suite à une demande de communication des données des PNR sur la base du FOIA.

Dans le cas où un ressortissant de l'UE considère que des données de PNR transmises à l'US CBP et archivées par ce dernier sont susceptibles d'être erronées, de quelles voies de recours dispose-t-il?

Selon l'US CBP, toute personne qui considère que les données de PNR communiquées à l'US CBP et archivées par lui sont susceptibles de contenir des informations erronées peut demander à examiner les données le concernant en application du Freedom of Information Act (FOIA). Si cette personne n'obtient pas satisfaction, le FOIA prévoit des recours administratifs et judiciaires contre une décision d'un organisme concernant la divulgation de données. Une personne faisant l'objet d'un fichier et qui considère celui-ci comme erroné (ou son mandataire) peut prendre contact avec l'Office of Field Operations de l'US CBP, soit par l'intermédiaire de la compagnie aérienne, soit directement, afin de demander la modification des données de PNR archivées par l'US CBP. Celui-ci s'est engagé, s'il juge la demande fondée au vu des pièces justificatives, à effectuer la modification.

Sans préjudice de ce qui précède, la Commission européenne rappelle que dans l'UE, toute personne a droit à un recours judiciaire contre toute atteinte aux droits garantis par la législation nationale de l'État membre en cause applicable en l'espèce. En outre, la Commission rappelle que toute personne peut introduire une plainte auprès de l'autorité de surveillance nationale de l'État membre en cause en ce qui concerne la protection de leurs droits et de leurs libertés en relation avec le traitement des données à caractère personnel.


Side Bar

My account

Manage your searches and email notifications


Help us improve our website