Le 19 avril, le Parlement européen a approuvé le nouveau projet d'accord sur le transfert des données des passagers aériens de l'Union européenne vers les États-Unis. 409 eurodéputés ont voté pour, 226 contre et 33 se sont abstenus.
Les échanges ont été rudes, portant pour l'essentiel sur l'équilibre à trouver entre protection de la vie privée et lutte antiterroriste. Les données des dossiers passagers ou PNR (pour Passenger Name Record) sont destinées au Département de la sécurité intérieure des États-Unis (Department of Homeland Security ou DHS), ainsi qu'aux agences de renseignement américaines.
Ces dossiers comprennent de très nombreuses informations personnelles et confidentielles : nom, sexe, nationalité, adresse, numéro de passeport, numéro de carte de crédit, préférences (alimentaires, par exemple), … Présenté comme un des instruments de la lutte contre le terrorisme, ce dispositif a été mis en place par les États-Unis après les attentats du 11 septembre 2001 et son fondement juridique est depuis une pomme de discorde entre les instances européennes et les autorités américaines. La dernière version de l'accord PNR a été négociée avec Washington en 2010 par la commissaire européenne chargée des affaires intérieures, Cecilia Malmström. Fin 2011, il a été validé par la Commission et le Conseil. Faisant suite au traité de Lisbonne entré en vigueur en 2009, Strasbourg devait aussi donner son avis pour l'approbation de cet accord à portée internationale. C'est chose faite.
Un accord non conforme au droit européen
Au-delà des considérations sécuritaires, politiques et diplomatiques qui ont conduit à ce vote favorable, et malgré les engagements de l'administration américaine sur la libéralisation des visas à destination des États-Unis et l'accès pour ses alliés à de nombreuses bases de données (dont le PNR), plusieurs parlementaires européens soulignent que cet accord, non limité quant à l'utilisation des données collectées, n'est pas conforme au droit européen qui, entre autres points, impose comme condition de définir le but d'une collecte de données privées.
Ces euro-parlementaires s'inquiètent donc du champ d'utilisation de ces données personnelles, mais aussi de la durée de leur conservation. Inquiétude confortée par l'annonce des États-Unis du renforcement de l'initiative secure flight qui nécessite le transfert les données PNR afférentes, non seulement aux vols vers et aux États-Unis, mais aussi vers des pays voisins comme le Mexique ou le Canada. Les périodes de conservation ont été prolongées par chaque nouvel accord, passant de trois ans et demi en 2004 à une durée indéterminée en 2011. Dans le nouvel accord, les PNR devraient être stockées cinq ans sur une base de données "active", avant d'être archivées sur une base"dormante" pour dix ans supplémentaires.
Sur ce sujet éminemment sensible, il convient également de s'interroger sur les systèmes de réservation informatique ou GDS (pour GlobalDistributionSystems) qui permettent aux compagnies aériennes de collecter et stocker les données PNR. En effet, pour traiter les réservations de leurs clients, ces compagnies font appel à un nombre réduit d'intermédiaires. S'ils n'entrent pas directement dans le cadre de l'accord PNR, ces prestataires technologiques jouent cependant un rôle central en enregistrant les masters des dossiers PNR.
L’ignorance des passagers
La plupart des passagers ignorent l'existence même de ces bases de données où, en fonction des vols et des escales, plusieurs dossiers peuvent être enregistrés pour un seul et même voyageur.Au final, chaque système de réservation informatique est capable de gérer plusieurs milliers de transactions par minute. Quatre des principales sociétés spécialisées dans les GDS – Amadeus, Galileo, Sabre et Worldspan – centralisent ainsi l'essentiel des données des passagers collectées par la quasi-totalité des compagnies aériennes du monde. Le marché des GDS est même beaucoup plus large puisqu'il inclut aussi les réservations de billets de trains, de billets maritimes, de voitures de location ou de chambre d'hôtels.
Depuis février, Google qui a racheté l'entreprise ITA Software spécialisée dans le tourisme, s'est également lancé dans ce type de services où l'on trouve également les centrales de réservation et autres bookingengines qui proposent sur le Net des systèmes de distribution directe. Un marché de plusieurs milliards de dollars par an (9,6 Md$ en 2009 – Source : PhoCusWright).
Principalement basées aux États-Unis, ces entreprises (Galileo, Sabre et Worldspan) sont soumises à la législation américaine. Ce transfert commercial incontrôlé viole les lois de protection des données européennes. Une fois localisées sur le territoire américain, l'administration peut court-circuiter l'accord PNR en obtenant, par le biais d'injonctions,ces données auprès des systèmes de réservation informatique. Et il n'y a pas la moindre garantie non plus sur le nombre et la qualité des personnes qui peuvent consulter et exploiter ces données.
Le transfert des données PNR n'est qu'un des dossiers faisant l'objet de difficiles négociations entre l'Europe et les États-Unis. Depuis le 11 septembre 2001, Swift, entreprise de droit belge et fournisseur mondial de services interbancaires, coopère avec le département du Trésor américain afin de contribuer à geler les mouvements de fonds de terroristes présumés.
Source d'informations colossale pouvant être aisément analysée, croisée avec de multiples autres bases de données fiscales, biométriques, commerciales ou autres, les données PNR peuvent être utilisées à des fins tout autres que la gestion des réservations ou l'établissement d'une liste de passagers.
Lutte contre le terrorisme et l'immigration clandestine, plates-formes électroniques de gestion des réservations opaques, protection des libertés individuelles, profilage des voyageurs-consommateurs, appétits commerciaux, toutes ces thématiques se télescopent et s'entrelacent. Et force est de constater que l'Europe n'occupe pas une position dominante sur ce terrain.
Les échanges ont été rudes, portant pour l'essentiel sur l'équilibre à trouver entre protection de la vie privée et lutte antiterroriste. Les données des dossiers passagers ou PNR (pour Passenger Name Record) sont destinées au Département de la sécurité intérieure des États-Unis (Department of Homeland Security ou DHS), ainsi qu'aux agences de renseignement américaines.
Ces dossiers comprennent de très nombreuses informations personnelles et confidentielles : nom, sexe, nationalité, adresse, numéro de passeport, numéro de carte de crédit, préférences (alimentaires, par exemple), … Présenté comme un des instruments de la lutte contre le terrorisme, ce dispositif a été mis en place par les États-Unis après les attentats du 11 septembre 2001 et son fondement juridique est depuis une pomme de discorde entre les instances européennes et les autorités américaines. La dernière version de l'accord PNR a été négociée avec Washington en 2010 par la commissaire européenne chargée des affaires intérieures, Cecilia Malmström. Fin 2011, il a été validé par la Commission et le Conseil. Faisant suite au traité de Lisbonne entré en vigueur en 2009, Strasbourg devait aussi donner son avis pour l'approbation de cet accord à portée internationale. C'est chose faite.
Un accord non conforme au droit européen
Au-delà des considérations sécuritaires, politiques et diplomatiques qui ont conduit à ce vote favorable, et malgré les engagements de l'administration américaine sur la libéralisation des visas à destination des États-Unis et l'accès pour ses alliés à de nombreuses bases de données (dont le PNR), plusieurs parlementaires européens soulignent que cet accord, non limité quant à l'utilisation des données collectées, n'est pas conforme au droit européen qui, entre autres points, impose comme condition de définir le but d'une collecte de données privées.
Ces euro-parlementaires s'inquiètent donc du champ d'utilisation de ces données personnelles, mais aussi de la durée de leur conservation. Inquiétude confortée par l'annonce des États-Unis du renforcement de l'initiative secure flight qui nécessite le transfert les données PNR afférentes, non seulement aux vols vers et aux États-Unis, mais aussi vers des pays voisins comme le Mexique ou le Canada. Les périodes de conservation ont été prolongées par chaque nouvel accord, passant de trois ans et demi en 2004 à une durée indéterminée en 2011. Dans le nouvel accord, les PNR devraient être stockées cinq ans sur une base de données "active", avant d'être archivées sur une base"dormante" pour dix ans supplémentaires.
Sur ce sujet éminemment sensible, il convient également de s'interroger sur les systèmes de réservation informatique ou GDS (pour GlobalDistributionSystems) qui permettent aux compagnies aériennes de collecter et stocker les données PNR. En effet, pour traiter les réservations de leurs clients, ces compagnies font appel à un nombre réduit d'intermédiaires. S'ils n'entrent pas directement dans le cadre de l'accord PNR, ces prestataires technologiques jouent cependant un rôle central en enregistrant les masters des dossiers PNR.
L’ignorance des passagers
La plupart des passagers ignorent l'existence même de ces bases de données où, en fonction des vols et des escales, plusieurs dossiers peuvent être enregistrés pour un seul et même voyageur.Au final, chaque système de réservation informatique est capable de gérer plusieurs milliers de transactions par minute. Quatre des principales sociétés spécialisées dans les GDS – Amadeus, Galileo, Sabre et Worldspan – centralisent ainsi l'essentiel des données des passagers collectées par la quasi-totalité des compagnies aériennes du monde. Le marché des GDS est même beaucoup plus large puisqu'il inclut aussi les réservations de billets de trains, de billets maritimes, de voitures de location ou de chambre d'hôtels.
Depuis février, Google qui a racheté l'entreprise ITA Software spécialisée dans le tourisme, s'est également lancé dans ce type de services où l'on trouve également les centrales de réservation et autres bookingengines qui proposent sur le Net des systèmes de distribution directe. Un marché de plusieurs milliards de dollars par an (9,6 Md$ en 2009 – Source : PhoCusWright).
Principalement basées aux États-Unis, ces entreprises (Galileo, Sabre et Worldspan) sont soumises à la législation américaine. Ce transfert commercial incontrôlé viole les lois de protection des données européennes. Une fois localisées sur le territoire américain, l'administration peut court-circuiter l'accord PNR en obtenant, par le biais d'injonctions,ces données auprès des systèmes de réservation informatique. Et il n'y a pas la moindre garantie non plus sur le nombre et la qualité des personnes qui peuvent consulter et exploiter ces données.
Le transfert des données PNR n'est qu'un des dossiers faisant l'objet de difficiles négociations entre l'Europe et les États-Unis. Depuis le 11 septembre 2001, Swift, entreprise de droit belge et fournisseur mondial de services interbancaires, coopère avec le département du Trésor américain afin de contribuer à geler les mouvements de fonds de terroristes présumés.
Source d'informations colossale pouvant être aisément analysée, croisée avec de multiples autres bases de données fiscales, biométriques, commerciales ou autres, les données PNR peuvent être utilisées à des fins tout autres que la gestion des réservations ou l'établissement d'une liste de passagers.
Lutte contre le terrorisme et l'immigration clandestine, plates-formes électroniques de gestion des réservations opaques, protection des libertés individuelles, profilage des voyageurs-consommateurs, appétits commerciaux, toutes ces thématiques se télescopent et s'entrelacent. Et force est de constater que l'Europe n'occupe pas une position dominante sur ce terrain.