Lutte contre le terrorisme : le passenger name record (PNR), c’est quoi ?

Depuis les attentats qui ont frappé Paris, en janvier 2015, la France réclame la mise en place rapide d’un passenger name record (PNR) européen. Une demande concrétisée le 14 avril 2016 avec l’adoption par le Parlement européen de la directive relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière. Comment fonctionne ce fichier de données, qui permet de suivre le déplacement des passagers aériens ?
 

Qu’est-ce qu’un PNR ?

Les données des dossiers passagers (données PNR) sont des informations non vérifiées communiquées par les passagers, qui sont recueillies et conservées par les transporteurs aériens parce que nécessaires à la réservation.


Ces données comportent différentes informations :
  • les noms ;
  • les dates du voyage ;
  • l'itinéraire ;
  •  le numéro du siège ;
  • les données relatives aux bagages ;
  • les coordonnées du passager ;
  • le moyen de paiement utilisé.

Pourquoi mettre en place un PNR européen ?

La plupart des activités liées à la criminalité organisée et au terrorisme impliquent des déplacements internationaux. Dans ce contexte, le transfert et le traitement des données PNR permettraient aux autorités répressives d'identifier des suspects qui étaient jusqu'alors inconnus de leurs services. En effet, dans le cadre de la convention de Schengen, l’Union européenne (UE) s’est déjà dotée de mesures permettant d'assurer la collecte et l'échange de données à caractère personnel entre autorités répressives, mais elles ne concernent que les données relatives aux personnes déjà suspectées.

La plupart des États membres de l'UE utilisent déjà des données PNR de manière non systématique ou en vertu de compétences générales dévolues à la police ou à d'autres autorités. De plus, l'UE a déjà signé des accords visant à permettre aux transporteurs de l'UE de transférer des données PNR aux États-Unis, à l'Australie et au Canada. En juin 2015, le Conseil a adopté une décision autorisant l'ouverture de négociations en vue de la conclusion d'un accord avec le Mexique.

Comment fonctionnera le PNR européen ?

La directive prévoit que les transporteurs aériens qui proposent des vols entre un pays tiers et le territoire d'au moins un État membre de l'UE pourront transmettre les données PNR aux autorités compétentes de cet État membre. Les transporteurs enverront ces données en utilisant la méthode dite "push", ce qui signifie que les États membres ne disposeront pas d'un accès direct aux systèmes informatiques des transporteurs. Les transporteurs aériens enverront ces données PNR à une unité unique désignée - unité de renseignements passagers - de l'État membre dans lequel le vol international est prévu.

La directive s'appliquera aux "vols extra-UE", mais aussi, comme le demandait la France, aux "vols intra-UE" (c'est-à-dire d'un État membre à l'autre), à condition d'en informer la Commission européenne. Les pays de l'UE pourraient également choisir de collecter et traiter les données PNR des agences de voyage et des tour-opérateurs (opérateurs économiques autres que les transporteurs aériens) étant donné qu'ils gèrent aussi la réservation de vols.

Les données PNR pourront être conservées pendant une période de cinq ans et trente jours. Il s’agissait également d’une condition stricte posée par la France.

Les États membres partageront les alertes créées à partir du traitement des données PNR, lorsque cela s'avère nécessaire pour la prévention, la détection, l'enquête et la poursuite d'infractions terroristes ou de criminalité grave (par exemple, la traite des êtres humains, le trafic de drogues ou la pornographie infantile). Par ailleurs, les États membres auront le droit de demander les données PNR d'un autre pays de l'UE dans le cadre d'une enquête spécifique.

La directive prévoit un certain nombre de garanties en matière de protection des données :

Les unités nationales de renseignements sur les passagers devront nommer un délégué à la protection des données chargé de contrôler le traitement des données PNR et de mettre en œuvre les garanties correspondantes.


L'accès à l'ensemble des données PNR - qui permet aux utilisateurs d'identifier immédiatement le sujet des données - devrait uniquement être octroyé dans des conditions très strictes et limitées après la période de conservation initiale.


Tout traitement des données PNR devra faire l'objet d'une trace documentaire.


Il sera explicitement interdit de traiter des données à caractère personnel révélant l'origine raciale ou ethnique de l'individu, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance syndicale, ainsi que les données concernant sa santé, sa vie sexuelle ou son orientation sexuelle. 

Quand ce système sera-t-il mis en place ?

Suite à l'approbation du Parlement européen, la proposition va désormais être approuvée par le Conseil. Une fois la proposition publiée au Journal officiel de l'UE, les États membres disposeront d'un délai de deux ans pour la transposer en droit national. La France a lancé dès 2014 la réalisation technique de son dispositif, avec le soutien financier de la Commission européenne. Ce dispositif sera expérimenté dans notre pays dès cet été, afin d’être déployé progressivement à compter de la fin 2016.

La directive prévoit que la Commission européenne devra mener une révision de la directive sur les PNR de l'UE deux ans après sa transposition en droit national. Elle devra accorder une attention particulière au respect des normes de protection des données à caractère personnel, à la nécessité et la proportionnalité de la collecte et du traitement des données pour chacun des objectifs énoncés, à la durée de conservation des données, ainsi qu'à "l'efficacité du partage des données entre les États membres".