CNIL 27e RAPPORT D’ACTIVITÉ 2006
Parlement européen, au motif que l’accord reposait sur
une base juridique erronée. La Cour a également fixé la
date butoir au 30 septembre 2006 pour la conclusion
d’un nouvel accord.
Dans deux avis des 14 juin et 27 septembre 2006, la CNIL
et ses homologues, réunis au sein du groupe de l’article 29,
rappelaient la nécessité que le nouvel accord à conclure
consacre un niveau de sécurité juridique et de protection des
personnes supérieur ou, à tout le moins, équivalent à celui
mis en place par l’accord du 14 mai 2004.
Un accord n’a été conclu que le 6 octobre 2006,
après de longues et difficiles négociations. Malgré les
exigences américaines de départ, le compromis maintient
inchangés les types de données accessibles mais prévoit
un élargissement des destinataires des données PNR : le
département de la Sécurité intérieure américain pourra
les transférer au FBI et à la CIA. La durée de conservation
reste de trois ans et demi.
En outre, dans l’attente de la mise en place d’un système
« push » dans lequel les compagnies aériennes seront
maîtresses des données consultées par les autorités américaines, celles-ci sont autorisées à extraire les données
PNR directement des bases de données des compagnies
aériennes (« pull »).
Qu’est-ce que c’est ?
LES PNR
De manière générale, les compagnies aériennes et les
agences de voyage collectent ces informations auprès
des passagers dans le cadre des services de réservation.
Stockées dans les bases de données des systèmes de
réservation, elles sont échangées entre les entreprises
intervenantes du moment de la réservation jusqu’à la
réalisation des prestations demandées par les passagers.
Les données présentes dans ces bases prennent la forme
d’enregistrements d’informations standardisés sur le plan
international dénommés « PNR » (Passenger Name Record).
À noter que l’accord va régir le transfert des données
jusqu’au 31 juillet 2007, date à laquelle un nouveau
compromis devra être négocié. L’Union européenne et les
États-Unis ont repris les négociations en vue d’un accord
définitif dès le mois de novembre 2006. La CNIL et ses
homologues européens suivront avec la plus grande
attention ces négociations, afin de veiller au respect des
droits et libertés des personnes.
Questions à …
GEORGES DE LA LOYÈRE
Membre du Conseil économique et social
Commissaire en charge du secteur
« affaires internationales »
Pourquoi le précédent accord PNR était-il insatisfaisant ?
Depuis les attentats du 11 septembre 2001, les autorités
américaines ont mis la question de la sécurité des transports
aériens en haut de leurs préoccupations. Ainsi, toutes les
compagnies aériennes qui desservent ou simplement survolent
le territoire américain doivent fournir une série de données
(PNR) sur chacun des passagers qu’elles embarquent.
Que la vérification des identités et le contrôle avant embarquement soient nécessaires au regard des impératifs de sécurité, nul
n’en doute. Mais le nombre de transferts opérés et l’abondance
des renseignements fournis – 34 rubriques par voyageur – paraissent excessifs au regard des objectifs poursuivis. Ces transferts ne sont encadrés par aucune autorité de contrôle.
Quels sont les objectifs de la CNIL dans le contexte de la
négociation du nouvel accord ?
le principe de l’accord PNR – États-Unis – Europe n’était pas
soutenable puisque sa finalité, la sécurité publique, se trouvait
être hors du champ communautaire. L’enjeu pour nos autorités
de contrôle va être de veiller à ce que le nouvel accord soit
plus protecteur que le précédent ou pour le moins d’éviter une
diminution des garanties prévues.
Peut-on parler d’un « déséquilibre transatlantique » dans cette
affaire ?
La partie américaine va continuer à exercer des pressions
considérables grâce au traitement des No fly lists (listes de
passagers indésirables aux États-Unis, fournies par les autorités
américaines aux compagnies aériennes). Elles contiennent
des dizaines de milliers de noms sans aucune garantie sur la
qualité de ces fichiers. Elle entend aussi imposer la collecte et la
conservation de données concernant les problèmes de santé et
notamment la propagation des maladies infectieuses telles que
la grippe aviaire.
Il s’agit maintenant, pour nos autorités de contrôle agissant
conjointement au niveau européen, et pour la CNIL en
La Cour de justice européenne, sans se prononcer sur le fond,
particulier de proposer un juste équilibre entre la sécurité à
laquelle tout le monde aspire et des transferts anarchiques de
a considéré que la base juridique sur laquelle reposait
données plus ou moins sensibles contraires à nos principes.
28