B. LA DÉFINITION DU CHAMP DU PNR EUROPÉEN
1. Des finalités à préciser
Votre commission rejoint parfaitement les préoccupations de la proposition de résolution relatives à une définition précise des finalités du système.
Si la lutte contre le terrorisme est définie de manière satisfaisante par référence à la décision-cadre 2002/475/JAI du Conseil relative à la lutte contre le terrorisme, il n'en est pas de même des autres infractions qui pourraient justifier l'utilisation des données PNR. Les références à des infractions graves ou à la criminalité organisée sont trop floues.
Les travaux du Conseil ont dégagé une piste intéressante. Les infractions graves seraient définies par référence à la liste d'infractions établie dans la décision-cadre 2002/584/JAI du 13 juin 2002 relative au mandat d'arrêt européen. Cette liste porte sur 32 catégories de comportements criminels 18 ( * ) et est une référence importante reconnue par l'ensemble des Etats membres.
Cette solution serait satisfaisante . Néanmoins, votre commission souligne que la référence à ces 32 catégories d'infractions n'exonère pas d'un examen de chaque catégorie afin de s'assurer de leur pertinence par rapport à l'exploitation des données PNR.
Les raisons qui ont justifié l'inscription d'une infraction parmi la liste des infractions permettant le recours au mandat d'arrêt européen ne sont pas nécessairement valables lorsqu'on les applique au système PNR.
2. Quelles données collecter ?
Votre commission estime que la liste des données PNR qui devrait être transmise est pertinente et nécessaire dans sa quasi-totalité, les exemples cités par les services de sécurité démontrant l'utilité potentielle de chacune.
Une seule catégorie de données pose des difficultés : les données sensibles.
Ces données sensibles, c'est-à-dire celles « révélant la race ou l'origine ethnique, les convictions religieuses, les opinions politiques, l'appartenance à un syndicat, la santé ou l'orientation sexuelle » ne constituent pas à proprement parler une des catégories de données PNR.
Lorsque ces données figurent parmi les données PNR transmises, elles se trouvent en réalité dans la rubrique « 12) Remarques générales ». Cette rubrique est un champ libre dans lequel les compagnies aériennes peuvent inscrire des informations relatives au handicap d'une personne ou à ses préférences alimentaires par exemple.
La CNIL a souligné que de manière générale, il était de bonne pratique au regard de la protection des données à caractère personnel de proscrire les champs libres. Ces rubriques sont très difficiles à contrôler.
Les avis du G29, du contrôleur européen de la protection des données, du Parlement européen ainsi que les réactions de nombreuses organisations de protection des droits de l'homme sont unanimes pour critiquer l'utilisation, voire la simple transmission de ces données dans le cadre du PNR européen.
Pour sa part, la proposition de résolution demande que l'utilisation de ces données sensibles soit en principe exclue. Toutefois, si comme les travaux du Conseil l'envisagent, ces données étaient malgré tout utilisées, la proposition de résolution souhaite qu'elles ne soient utilisées que dans le cadre d'une enquête et non à des fins de profilage ou de simple renseignement.
La question de l'utilisation des données sensibles pose également des problèmes techniques importants. Ces données figurant dans une rubrique « champ libre », comment faire pour les filtrer ? Ce filtrage doit-il revenir aux compagnies aériennes lors de la transmission ou aux UIP ?
Pour concilier ces équations contradictoires, votre commission propose d'exclure purement et simplement de la liste des données PNR transmises la rubrique « 12) Remarques générales ».
Cette solution présente plusieurs avantages.
La question du filtrage des données sensibles au sein de la rubrique « Remarques générales » ne se posera plus. En outre, elle répond à la fois aux critiques contre l'utilisation des données sensibles et aux réticences plus générales de la CNIL quant à l'utilisation des champs libres.
Mais surtout, cette solution permettra d'apaiser le débat sur le PNR européen sans que les capacités opérationnelles des services de sécurité ne soient véritablement affectées.
En effet, les auditions des responsables de ces services ont fait apparaître que cette rubrique était en définitive la moins utile. On notera enfin que la loi du 23 janvier 2006 relative à la lutte contre le terrorisme écarte expressément l'utilisation des données sensibles.
* 18 Voir l'annexe n° 3.