Protection des données personnel contenues dans les dossiers des passagers aériens (PNR) transférés au Bureau des douanes et de la protection des frontières des États-Unis

OBJECTIF : proposer un démarche globale de l'Union européenne sur le transfert de données sur les passagers ("Passenger Name Record" ou PNR). CONTENU : Au lendemain des attaques terroristes du 11 septembre 2001, les États-Unis ont adopté une législation disposant que les transporteurs aériens assurant des liaisons à destination, au départ ou à travers le territoire des États-Unis soient tenus de fournir aux autorités douanières des États-Unis un accès électronique aux données contenues dans leurs systèmes automatiques de réservation et de contrôle des départs, connues sous le nom de Passenger Name Records (PNR). Tout en reconnaissant la légitimité des intérêts de sécurité en jeu, la Commission a informé les États-Unis dès juin 2002 que ces dispositions pouvaient entrer en conflit avec la législation communautaire en matière de protection des données. Les États-Unis ont reporté l'entrée en vigueur des nouvelles dispositions, mais ont finalement refusé de renoncer à imposer des sanctions aux compagnies aériennes ne se conformant pas aux décisions précitées après le 5 mars 2003. Depuis lors, plusieurs grandes compagnies aériennes de l'Union européenne ont fourni l'accès à leur PNR. Le 18 février 2003, la Commission et les États-Unis ont publié une déclaration commune exposant les premiers engagements qu'ont accepté de prendre les autorités douanières des États-Unis en matière de protection de données et visant à rapprocher des normes de l'Union, les modalités d'utilisation et de protection des données PNR par les USA. Entre-temps, d'autres pays tiers, notamment le Canada et l'Australie, ont demandé ou envisagent de demander l'accès aux données PNR. Certains États membres ont aussi examiné la possibilité d'utiliser les données PNR aux fins de la sécurité aérienne et des frontières. Pour sa part, le Parlement européen a invité la Commission à prendre un certain nombre de mesures concernant le transfert des données PNR aux États-Unis pour garantir la prise en compte des préoccupations de l'Europe en matière de protection des données. La Commission convient avec le Parlement européen qu'il est urgent de trouver une solution aux problèmes découlant des demandes de PNR formulées par les États-Unis et que cette solution doit : - être juridiquement irréfutable, - garantir aux citoyens la protection de leurs données personnelles et de leur vie privée, mais également leur sécurité physique, - défendre fermement la nécessité de lutter contre le terrorisme et la criminalité organisée au niveau international, - mettre fin à l'incertitude juridique pour les compagnies aériennes - européennes et non européennes et faciliter les voyages effectués pour des motifs légitimes. Toutefois, l'approche européenne ne peut se limiter à répondre aux initiatives des autres. La Commission se prononce en particulier pour la définition d'une solution multilatérale, la seule, selon elle, à répondre aux problèmes qui se posent auniveau international en matière de transport aérien. C'est pourquoi, la Commission propose, avec le présent document, une approche globale de l'Union en la matière fondée sur la lutte contre le terrorisme et la criminalité internationale, le droit au respect de la vie privée et la protection des droits civils fondamentaux, le fait que les compagnies aériennes doivent pouvoir se conformer aux diverses dispositions de la législation à un coût acceptable, le respect des relations entre l'Union et les États-Unis, la sécurité et commodité des passagers aériens, les préoccupations en matière de sécurité aux frontières et la portée réellement internationale des problèmes. Toute approche unilatérale serait déséquilibrée et vouée à l'échec. Dans le même temps, la recherche d'une solution réellement globale ne doit ni retarder ni empêcher une solution juridique au problème des transferts actuels de données PNR aux États-Unis. En conséquence, l'approche combinée de la Commission comprend les principaux éléments suivants : a) un cadre juridique pour le transferts de données PNR existants vers les États-Unis prenant la forme d'une décision de la Commission en vertu de l'article 25, par. 6 de la Directive Protection des Données (95/46/CE) en combinaison avec un accord international bilatéral de nature ·légère·; b) une information complète, exacte, précise et fournie en temps utile aux passagers; c) le remplacement du système "pull" (accès direct des autorités américaines aux bases de données des compagnies aériennes) par un système "push", combiné avec des filtres appropriés; d) l'élaboration d'une position de l'UE sur l'utilisation des données des passagers, y compris les PNR, pour la sécurité aérienne et aux frontières; e) la création d'un cadre multilatéral pour le transfert des données PNR au sein de l'Organisation de l'Aviation Civile Internationale (OACI). A bref délai, la Commission propose donc d'établir un cadre juridique sous la forme d'un constat du niveau adéquat de la protection des données personnelles en application de l'article 25 par. 6 de la Directive protection des données, en combinaison avec un accord international avec les États-Unis basé sur l'article 300 paragraphe 3, premier alinéa du Traité (voir CNS/2004/0064). Le Parlement européen sera consulté sur les deux éléments de cette solution. La Commission poursuivra également sa coopération avec les compagnies aériennes et leurs organisations représentatives, ainsi qu'avec les SIR, afin que les passagers reçoivent, avant d'acheter leurs billets d'avion, une information complète et exacte sur leurs données PNR et pour qu'ils puissent ainsi être à même de faire un choix éclairé. Elle incitera fortement les opérateurs à obtenir systématiquement le consentement des passagers dans les limites de ce qui est praticable. En cas de non-application des mesures par les compagnies aériennes, la Commission pourrait invoquer son droit d'initiative et proposer des mesures au niveau communautaires. Dans le contexte de la technologie "push", elle continuera d'étudier les options qui s'offrent avec l'industrie et proposede prendre les initiatives appropriées pour assurer le financement sur les ressources existantes du budget de l'Union, d'une aide à la mise au point d'un tel système. La Commission s'est ainsi fixé pour objectif de trouver des solutions avant le milieu de l'année 2004 au plus tard en vue de mettre en oeuvre un système "push" dans le cadre d'une approche de l'UE concernant l'utilisation des données des voyageurs pour des fins de la sécurité des frontières et de l'aviation.�