Les USA veulent ficher, pendant 15 ans, les voyageurs européens
Les instances européennes sont appelées à valider le fichage des passagers aériens à destination des Etats-Unis. Problème: il ne respecte pas vraiment les droits fondamentaux européens...
Les Etats-Unis veulent pouvoir conserver, pendant 15 ans, les données personnelles (noms, coordonnées, numéros de carte bancaire et de téléphone) de tous les passagers aériens à destination de leur pays, ainsi que leurs itinéraires, les personnes avec qui ils voyagent, etc. Plusieurs pays, dont la France, auraient exprimé des doutes sur la conformité du protocole d’accord établi par la Commission européenne qui, pour certains eurodéputés, violerait la charte des droits fondamentaux, ainsi que la convention européenne des droits de l’homme.
Dans la foulée des attentats du 11 septembre 2001, les Etats-Unis ont imposé aux compagnies aériennes d’accéder à leurs fichiers clients, connus sous le nom de code PNR (pour Passenger Name Record, données des dossiers passagers), faute de quoi elles pouvaient se voir interdire d’atterrir.
Cette exigence allant à l’encontre des textes de loi européens encadrant la protection et la circulation des données personnelles, les Etats-Unis cherchent depuis à officialiser, par un accord portant sur “le traitement et le transfert de données des dossiers passagers“, ce qu’ils continuent d’exiger des compagnies aériennes.
Un premier accord, négocié en 2004, avait été invalidé par la Cour de justice européenne en 2006 au motif qu’il n’était pas fondé “sur une base juridique appropriée“. Un second accord, signé en 2007, avait été rejeté par les eurodéputés, au motif qu’il ne respectait pas les normes européennes en matière de protection des données, et parce qu’ils entendaient ainsi “refuser le profilage” :
Refuser le profilage : le Parlement réitère sa position selon laquelle les données PNR ne peuvent en aucun cas être utilisées à des fins d’exploration de données ou de profilage. Il faut donc préciser les différences entre les concepts d’«évaluation du risque» et de «profilage» en matière de PNR.
Le groupe du G29, qui regroupe les CNIL européennes, a plusieurs fois dénoncé lui aussi cette “surveillance généralisée de tous les passagers, indépendamment du fait qu’ils soient soupçonnés ou innocents“. Tous objectent que les Etats-Unis “n’ont jamais prouvé de façon concluante que la quantité considérable de données passagers collectée est véritablement nécessaire à la lutte contre le terrorisme et la grande criminalité“.
Un risque de “fuite” vers des pays tiers
Le Guardian a récemment publié une version de travail du projet d’accord établi avec la Commission européenne. Il reprend pour l’essentiel les exigences américaines. Le Département de la Sécurité intérieure (DHS) américain voudrait ainsi pouvoir accéder au PNR 96 heures avant le décollage des avions (contre 72h à ce jour), afin d’avoir le temps de comparer les données avec leurs listes noires de terroristes et d’immigration.
Les données sensibles (couleur, origine ethnique, opinions politiques, croyances religieuses, opinions philosophiques, appartenances syndicales, données de santé ou sur la vie sexuelle des individus) seront “masquées” au moyen de filtres automatisés. Mais leur utilisation sera néanmoins permise “dans des circonstances exceptionnelles où la vie d’un individu pourrait être mise en péril” et “au cas par cas“.
Les données devront être “dépersonnalisées” au bout de 6 mois, puis, 5 ans après, stockées dans une base “dormante” pendant 10 ans. Elles pourront également être confiées à des services de pays tiers, et non-européens, ouvrant la voie à leur possible réutilisation, ou détournement, par des fonctionnaires de pays moins scrupuleux en matière de protection des données personnelles, ou encore plus faillibles en terme de corruption.
Les passagers qui, par erreur, se verront refuser à l’embarquement, ou dont les données auront été détournées, ne pourront déposer de recours qu’auprès de la justice américaine.
La France critique le protocole d’accord
Pour Edri, qui fédère 28 ONG européennes de défense des libertés, l’accord autorise le “profilage” qu’avait refusé les eurodéputés, et donc “l’utilisation des données pour classer les passagers en fonction des risques qu’ils pourraient poser“.
Sept pays (Allemagne, Autriche, Belgique, France, Irlande, Portugal et république Tchèque), inquiets des risques de fuite de données lors de leur transmission à des pays tiers, auraient exprimé des doutes, notamment en ce qui concerne le transfert des données PNR à des pays tiers, et exprimé des réserves au motif que “l’accord pose problème“.
D’après un compte-rendu des négociations, qu’OWNI a pu consulter, si la France n’a pas encore pris position de façon définitive, elle n’en aurait pas moins “massivement critiqué les garanties insuffisantes” du protocole d’accord, l’Assemblée nationale considérant qu’il s’agit d’un “dossier conflictuel“.
Une efficacité qui reste à démontrer
La Commission européenne, de son côté, refuse de renégocier l’accord. Le Sénat américain a quant à lui adopté, le 18 mai, une résolution hostile à toute modification du protocole d’accord :
Nous ne pouvons simplement pas accepter de changements à l’accord qui pourraient limiter à l’avenir notre capacité d’identifier et d’arrêter des terroristes ou des terroristes potentiels.
Les sénateurs américains avancent que, depuis 2001, le PNR aurait permis l’arrestation d’”au moins deux terroristes“, Faisal Shahzad, qui avait déposé une bombe à Times Square, et David Headley qui avait participé aux attentats de Mumbai en 2008.
Dans les faits, Shahzad a non seulement été arrêté aux États-Unis, et non en Europe, mais il avait même réussi à embarquer dans l’avion alors même qu’il avait été inscrit sur la liste noire des personnes interdites d’embarquement… Quant à Headley, les autorités indiennes se sont précisément indignées de la facilité avec laquelle il avait réussi à prendre si souvent l’avion entre le Pakistan, l’Inde et les États-Unis…
Plusieurs eurodéputés ont d’ores et déjà déclaré que l’accord, en l’état, était “injustifiable et disproportionné“. Bien qu’absent de l’agenda du Conseil Justice et Affaires intérieures des 9 et 10 juin prochains, l’accord PNR pourrait y être débattu, en même temps qu’un autre protocole d’accord similaire, passé avec l’Australie qui, lui, limite la rétention des données à 5 ans “seulement“.
Reste donc à savoir si les instances européennes respecteront la charte des droits fondamentaux, ainsi que la convention européenne sur les droits de l’homme, ou si elles s’aligneront sur les exigences américaines.
Crédits Photo FlickR CC atomicjeep / Paul Nicholson. Voir aussi la page Wiki du German Working Group on Data Retention consacrée au PNR.
Laisser un commentaire