EXPOSÉ GÉNÉRAL
Mesdames, Messieurs,
Le Sénat a été saisi, le 21 novembre 2007, au titre de l'article 88-4 de la Constitution, d'une proposition de décision-cadre relative à l'utilisation des données des dossiers passagers (Passenger Name Record-PNR) à des fins répressives 1 ( * ) . Ces données dites PNR sont recueillies par les compagnies aériennes et les agences de voyage auprès des passagers à l'occasion de la réservation du vol.
Cette proposition fait suite au Conseil européen des 25 et 26 mars 2004 qui avait invité la Commission européenne à soumettre une proposition « en vue d'une approche commune de l'Union européenne dans l'utilisation des données passagers à des fins répressives ». Cette invitation a d'ailleurs été réitérée dans le programme de La Haye en novembre 2004 qui fixe les objectifs pour la période 2004-2009 en matière de justice et d'affaires intérieures.
Présentée en novembre 2007, la proposition de décision-cadre a pour objectif « d'harmoniser les dispositions des Etats membres relatives à l'obligation, pour les transporteurs aériens assurant des vols vers le territoire d'au moins un Etat membre ou à partir de celui-ci, de transmettre aux autorités compétentes les renseignements relatifs aux passagers aux fins de prévenir et de combattre les infractions terroristes et la criminalité organisée ».
Cette proposition s'inscrit dans un contexte international de développement des systèmes de recueil des données PNR à des fins répressives depuis les attentats du 11 septembre 2001.
Elle est particulièrement symbolique puisqu'elle intervient après des négociations très difficiles entre les Etats-Unis et l'Union européenne sur les conditions du transfert aux Etats-Unis des données PNR recueillies par les compagnies assurant des vols entre ces deux territoires.
Le Sénat, notamment par la voie de sa délégation pour l'Union européenne, avait émis de très fortes réserves sur ces accords. C'est donc en toute logique qu'il se doit d'exercer une même vigilance sur la présente proposition de décision-cadre.
Réunie le 3 mars 2009, la commission des affaires européennes a adopté une proposition de résolution présentée par notre collègue Simon Sutour dont votre commission des lois est désormais saisie.
Cette proposition de résolution européenne ne rejette pas le principe d'un système PNR européen. Elle exprime néanmoins des critiques fortes à l'encontre de la proposition de décision-cadre, le droit au respect de la vie privée et à la protection des données à caractère personnel n'étant pas garanti en l'état du texte.
I. LA PROPOSITION DE DÉCISION-CADRE : DES NÉGOCIATIONS LOIN D'ÊTRE ACHEVÉES
A. LE CONTEXTE : UN DÉVELOPPEMENT ANARCHIQUE DE SYSTÈMES DE DONNÉES PNR À DES FINS RÉPRESSIVES
1. Les données PNR : définition
Les compagnies aériennes et les agences de voyage collectent ces informations auprès des passagers dans le cadre des services de réservation. Stockées dans les bases de données des systèmes de réservation, elles sont échangées entre les entreprises intervenantes du moment de la réservation jusqu'à la réalisation des prestations demandées par les passagers. Les données présentes dans ces bases prennent la forme d'enregistrements d'informations standardisés au plan international dénommés « PNR » (Passenger Name Record).
Le PNR peut ainsi contenir, en fonction des prestations offertes par les compagnies et demandées par le client, des informations telles que :
- les nom et prénom du client ;
- les renseignements sur l'agence de voyage auprès de laquelle la réservation est effectuée ;
- l'itinéraire du déplacement qui peut comporter plusieurs étapes ;
- les indications des vols concernés (numéro des vols successifs, date, heures, classe économique, business...) ;
- le groupe de personnes pour lesquelles une même réservation est faite ;
- le contact à terre du passager (numéro de téléphone au domicile, professionnel...) ;
- les tarifs accordés, l'état du paiement effectué et ses modalités par carte bancaire ;
- les réservations d'hôtels ou de voitures à l'arrivée ;
- les services demandés à bord tels que le numéro de place affecté à l'avance, les repas et les services liés à la santé...
Le plus souvent, tous les champs ne sont pas remplis.
Votre rapporteur attire l'attention sur le fait que ces données ne doivent pas être confondues avec les données dites « APIS » (Advance Passenger Information System). Ces données sont celles collectées par les compagnies lors de la phase d'enregistrement des passagers sur un vol. Elles comportent le numéro et le type du document de voyage utilisé, la nationalité, le nom complet, la date de naissance, le point de passage frontalier utilisé pour entrer sur le territoire des États membres, le code de transport, les heures de départ et d'arrivée du transport, le nombre total des personnes transportées et le point d'embarquement initial.
Les données APIS sont moins nombreuses que les données PNR. Elles sont en revanche beaucoup plus fiables puisqu'elles sont vérifiées par le personnel des transporteurs au moment de l'enregistrement du vol. Les données PNR sont fournies par les voyageurs au stade de la réservation commerciale, laquelle peut d'ailleurs changer jusqu'à l'embarquement. Toutefois, des erreurs peuvent encore survenir lors de la transcription des noms des voyageurs par le personnel, car la lecture des documents de voyage n'est pas toujours automatisée.
Avant le 11 septembre 2001, les données PNR conservées à des fins commerciales par les opérateurs pouvaient être requises, comme toutes autres données, par l'autorité judiciaire pour les besoins d'une enquête ou d'une instruction.
Toutefois, aucun Etat n'avait mis en place de dispositifs spécifiques pour contraindre les transporteurs et les agences de voyage à transmettre ces données aux autorités compétentes à des fins de prévention et de répression d'infractions.
Les attentats du 11 septembre 2001 ont conduit les autorités américaines à accorder une attention particulière à ces données, compte tenu de l'enjeu pour la sécurité aérienne, de la vulnérabilité des terroristes lors du franchissement des frontières et de la richesse des informations susceptibles d'être contenues dans les dossiers passagers. Par un effet de contagion, d'autres Etats se sont organisés pour exploiter plus systématiquement ces données.
* 1 Document COM (2007) 654 final.