3. Les expériences européennes
Comme le relève l'exposé des motifs de la proposition de résolution, au sein de l'Union européenne, le Royaume-Uni est le seul Etat membre à avoir un système PNR complet dans le cadre du programme e-borders.
Entré en vigueur en mars 2008, il couvre à la fois la collecte des données APIS et les données PNR. S'agissant de ces dernières, le Royaume-Uni procède à une collecte sélective concentrée sur certains itinéraires et destinations jugés plus risqués.
Les finalités sont très larges : terrorisme, grande criminalité, lutte contre l'immigration illégale et contrôles douaniers.
Le système ne fait pas de distinction a priori entre les vols en provenance d'un Etat membre de l'Union européenne ou d'un Etat tiers. Et il ne se limite pas au seul transport aérien.
La durée de conservation des données est de dix ans.
Le Danemark s'est également doté d'un cadre légal permettant la collecte des données PNR, mais uniquement à des fins de lutte antiterroriste. Toutefois, ces dispositions n'auraient pas encore été mises en oeuvre.
En Belgique, les services de police peuvent dans le cadre d'une autorisation judiciaire demander aux compagnies aériennes un accès à leurs données PNR. Elles les utilisent notamment à des fins de profilage.
4. Le système PNR français
L'article 7 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme autorise la collecte et l'exploitation des données PNR et APIS.
Le ministre de l'intérieur est ainsi autorisé à créer des traitements automatisés des données à caractère personnel recueillies à l'occasion de déplacements internationaux en provenance ou à destination d'Etats n'appartenant pas à l'Union européenne. Les vols intracommunautaires sont exclus.
Trois catégories de données sont notamment concernées.
- les données directement collectées à partir de la bande de lecture optique (dite « MRZ ») des documents de voyage, de la carte nationale d'identité et des visas des passagers de transporteurs aériens, maritimes ou ferroviaires. Cette technique rend possible l'enregistrement systématique et rapide des données contenues dans la bande optique, même lorsque les agents aux frontières sont confrontés à l'arrivée simultanée et massive de plusieurs vols ;
Données enregistrées dans la bande MRZ
|
Le passeport |
La carte nationale d'identité |
Le visa |
|
1. type de document |
1. type de document |
1. type de document |
|
2. nom |
2. nom |
2. nom |
|
3. prénoms |
3. prénoms |
3. prénoms |
|
4. le numéro de passeport |
4. le numéro de la CNI |
4. numéro du visa |
|
5. nationalité |
5. nationalité |
5. nationalité |
|
6. date de naissance |
6. date de naissance |
6. date de naissance |
|
7. sexe |
7. sexe |
7. sexe |
|
8. date d'expiration du passeport |
8. date de fin de validité du visa |
|
|
9. validité territoriale |
||
|
10. État émetteur |
||
|
11. nombre d'entrées |
||
|
12. durée du séjour |
||
|
13. début de validité |
- les données « APIS » ;
- les données « PNR ».
La loi écarte expressément l'utilisation des données dites sensibles au sens de l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Il s'agit de celles « qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ». Les données concernant les types de repas à bord ou l'état de santé du voyageur ne peuvent pas faire l'objet d'une transmission.
Les finalités sont définies précisément :
- améliorer le contrôle aux frontières et la lutte contre l'immigration clandestine ;
- prévenir et réprimer les actes de terrorisme.
La loi précise également que les personnes ayant accès aux données collectées varient selon la finalité poursuivie. Ainsi, s'agissant de la prévention et de la répression du terrorisme, seuls les agents individuellement désignés et dûment habilités des services spécialisés peuvent accéder à ces traitements de données.
Ces traitements peuvent faire l'objet d'une interconnexion avec le fichier des personnes recherchées (FPR) et le système d'information Schengen (SIS).
La loi du 23 janvier 2006 est ainsi allée au-delà de la simple transposition de la directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données APIS.
Adoptée dans le cadre de la lutte contre l'immigration clandestine et de l'amélioration des contrôles aux frontières (premier pilier) , cette directive dispose que les États membres prennent les mesures nécessaires afin d'établir l'obligation, pour les transporteurs aériens, de transmettre, à la demande des autorités chargées du contrôle des personnes aux frontières extérieures, avant la fin de l'enregistrement, les données APIS des voyageurs entrant sur le territoire d'un État membre.
La loi ne précisait pas l'architecture technique du système, ni le nombre de traitements qui seraient mis en place.
La mise en oeuvre de l'article 7 de la loi du 23 janvier 2006 s'est traduite par la création à titre expérimental du Fichier des passagers aériens (FPA) par un arrêté du 19 décembre 2006.
Le champ de cette expérimentation est très limité par rapport à ce que la loi autorise.
Elle ne concerne que les données APIS des passagers des vols directs en provenance et à destination de cinq pays (l'Afghanistan, le Pakistan, l'Iran, la Syrie et le Yémen). Au total, au cours des deux années de l'expérimentation, les données de 209.451 passagers ont été transmises.
Les données transmises sont conservées pendant cinq ans et peuvent être consultés par les services spécialisés à titre de source de renseignements. Toutefois, dans le cadre de la lutte contre l'immigration clandestine, ces données ne peuvent être consultées par les agents habilités que dans les 24 heures suivant leur transmission.
M. Jean-Yves Topin, directeur central de la police aux frontières, a indiqué que l'expérimentation avait été prolongée et qu'elle devrait être étendue à d'autres pays.
Deux dysfonctionnements sont apparus.
Tout d'abord, un manque de rigueur dans la transmission des données par certaines compagnies a été constaté. La mise en oeuvre des sanctions prévues par la loi en cas de méconnaissance par les transporteurs de leurs obligations -50.000 euros pour chaque vol pour lequel les données n'ont pas été transmises- fait encore défaut.
Ensuite, de nombreuses erreurs sont imputables à des homonymies ou à des transcriptions inexactes des noms. Seule l'automatisation de la lecture des documents de voyage dans ces pays pourrait supprimer cette source d'erreur.
La France n'a donc pas mis en oeuvre un traitement des données PNR à des fins répressives et de renseignements alors que la loi du 23 janvier 2006 l'y autorise.
Toutefois, la France n'est pas totalement dépourvue d'expérience.
En effet, l'article 65 du code des douanes permet depuis longtemps aux douanes d'exiger la communication des documents de toute nature relatifs aux opérations les intéressant, quel qu'en soit le support, et notamment ceux se trouvant dans les locaux des compagnies de navigation aérienne.
Ce texte permet aux douanes de requérir ponctuellement et expressément les données PNR de certains vols.
Selon M. Gérard Schoen, sous-directeur des affaires juridiques et du contentieux, du contrôle et de la lutte contre la fraude à la direction générale des douanes, alors même que la transmission des données PNR se fait au cas par cas et que certaines compagnies aériennes rechignent à transmettre l'intégralité des données dont elles disposent, l'efficacité des contrôles ciblés grâce à l'analyse des données PNR serait déterminante.
Ces diverses expériences nationales, européennes et internationales ont eu pour effet que les opérateurs du transport aérien et leurs intermédiaires ont acquis une grande expertise dans le domaine de la gestion des données de voyage. Il n'y a pas d'obstacle technique. La principale préoccupation des opérateurs a pour objet l'harmonisation des règles des divers systèmes PNR afin de diminuer le coût des transmissions.