Accueil >Dossiers >Libertés

Transfert aux USA de données personnelles contenues dans les dossiers passagers (PNR)

Résolution du TACD sur les dossiers de données passagers

mercredi 30 juin 2004, par IRIS.


Version française - 16 juin 2004 - Traduction IRIS - Également disponible en PDF

Voir la version anglaise->http://www.thepublicvoice.org/take_action/pnr-resol-action.html] (originale) avec la liste des signatures

Voir aussi le communiqué de presse d’IRIS du 28 juin 2004

 Synthèse

Le Dialogue Transatlantique des Consommateurs (TACD), une coalition de plus de 60 organisations de consommateurs américaines et européennes, a appelé les États-Unis et l’Union européenne à suspendre un accord récent de divulgation des données personnelles de réservations aériennes pour les vols transatlantiques, tant qu’un autre accord ne sera pas intervenu pour réglementer cette divulgation afin de la rendre conforme aux principes établis de protection des données en vigueur au sein de l’Union européenne. Les nouvelles mesures de sécurité en préparation par les autorités de l’Union européenne et des États-Unis indiquent une absence de souci de l’opinion publique et un désir de contournement du débat démocratique.

Le TACD reconnaît la nécessité de mesures de sécurité raisonnables pour assurer la sûreté aérienne, mais considère que des systèmes de profilage et de contrôle des passagers, tels que CAPPS II et US-VISIT, présentent des risques significatifs d’atteinte à la vie privée des passagers voyageant à partir de l’Union européenne, et devraient de ce fait être limités par de sérieux garde-fous.

Ces risques comprennent : l’absence de garanties adéquates pour protéger les données passagers de divulgation indues et abusives ; le potentiel d’extension de l’utilisation des données à d’autres objectifs que la sécurité aérienne ; la possibilité de transmettre les données passagers à des pays tiers ne présentant pas un niveau de protection adéquat de la vie privée ; et la possibilité d’erreurs, sans droit significatif de correction ou réparation.

Afin de minimiser ces risques, les demandes de transfert de données par les autorités doivent être strictement ciblées et proportionnées aux buts poursuivis. En outre, le TACD considère : que les données passagers doivent être uniquement utilisées pour la lutte contre le terrorisme et les infractions liées ; que leur dissémination devrait être limitée aux autorités administratives, et leurs objectifs publiquement débattus et préalablement fixés ; qu’elles doivent être conservées pendant le temps nécessaire le plus court ; et que les passagers devraient avoir la possibilité légale d’accéder, de rectifier, de modifier et/ou supprimer leurs données personnelles. Les passagers doivent aussi se voir conférer les garanties de réparation, de compensation et de mécanismes de recours indépendants en cas d’abus ou de violation de leurs droits.

 Résolution du TACD sur les dossiers de données passagers

Problème

Le Dialogue Transatlantique des Consommateurs (TACD) est fortement préoccupé par l’impact sur le droit à la vie privée des voyageurs du mode actuel de divulgation des données personnelles de réservations aériennes pour les vols transatlantiques de l’Union européenne vers les États-Unis.

Le problème est particulièrement important pour le TACD car son traitement par les autorités européennes et américaines atteste d’une absence de souci de l’opinion du public et du Parlement européen (la seule institution élue de l’UE) et une volonté de contournement du débat démocratique. Cette question est susceptible d’avoir un impact majeur sur les voyageurs des deux entités économiques, sur le futur des relations commerciales UE-USA, et sur la manière dont les informations de voyage seront échangées, et divulguées, par les autorités de police et les organisations commerciales à l’avenir.

Risques pour les consommateurs

Le TACD entend protéger les voyageurs européens et américains contre les violations de leur vie privée en tant que consommateurs, dues à une large divulgation de leurs dossiers passagers (Passenger Name Records ou PNR) et des informations préalables sur les voyageurs (Advance Passenger Information ou API) par les compagnies aériennes, les agences de voyage, les systèmes de réservation automatisés (Computerized Reservation Systems ou CRS), et les agrégateurs de données aux autorités de police des États-Unis et aux organisations commerciales.

  • Nous ne nous opposons pas à des mesures de sécurité raisonnables pour assurer la sûreté aérienne. Toutefois, nous considérons que des systèmes de profilage et de contrôle des passagers, comme le système américain CAPPS II, présentent des risques d’atteinte à la vie privée des passagers voyageant à partir de l’Union européenne, et devraient de ce fait faire l’objet des garanties les plus fortes.
  • L’utilisation des données contenues dans les dossiers passagers (PNR) des voyageurs aériens européens par le programme CAPPS II présente un potentiel d’extension, sachant que ces données peuvent être utilisées par les autorités américaines de police à des fins autres que la sécurité des avions et la lutte contre le terrorisme.
  • La divulgation par le gouvernement des États-Unis des données des passagers aériens européens à des gouvernements et autorités hors UE et USA introduit un risque pour la vie privée de ces passagers lorsque les États tiers n’ont pas mis en œuvre des mesures de protection de la vie privée, tant dans le secteur public que dans le secteur privé.
  • L’absence de droits d’accès, de rectification, de correction et de suppression des données personnelles collectées et utilisées par les autorités américaines, ainsi que l’absence de mécanismes de compensation et de recours indépendants, augmentent les risques d’abus.
  • S’agissant de la méthode de transfert des données, le seul système acceptable de transfert est le système dit « push », dans lequel les données sont d’abord sélectionnées, puis transférées aux autorités américaines, plutôt que le système dit « pull », qui permet à ces dernières un accès direct aux systèmes de réservation des compagnies aériennes.
  • Il y a eu récemment des divulgations extensives d’importantes quantités de données de voyage entre des entités américaines du secteur privé (compagnies aériennes, CRS, et sociétés de fouille de données), et de ces entités aux autorités américaines de police, sans autorisation légale et à des fins ratissant large. Cela montre l’absence de garde-fous adéquats pour prévenir les divulgations injustifiées des données des passagers, y compris les informations collectées auprès des voyageurs européens, et les abus potentiels.
  • Le programme US-VISIT présente des risques pour la vie privée de nombreux voyageurs, lorsqu’il est doté de la capacité d’établir des liens avec les données collectées par les autorités américaines sur les passagers voyageant de l’Union européenne vers les États-Unis. Le traitement des données dans le cadre du système US-VISIT n’est pas protégé par les mêmes exigences (conformément à l’accord PNR entre l’UE et les USA de mai 2004) que celles qui s’appliqueraient à la divulgation, puis au traitement, des données passagers par l’administration américaine des douanes et de la protection des frontières.
  • Les propositions de l’Organisation de l’aviation civile internationale (OACI) en vue de nouvelles normes pour les documents de voyage, combinées avec la législation actuelle et les propositions, tant aux États-Unis que dans l’Union européenne, de conformité aux standards de l’OACI, auraient de sérieuses conséquences en matière de vie privée. Ces propositions impliqueraient : la collecte et l’inclusion obligatoires des données PNR au-delà de ce qui est nécessaire pour les besoins commerciaux des compagnies aériennes ; la collecte obligatoire par les compagnies aériennes et/ou les agences de voyage des informations préalables sur les voyageurs (API) au-delà de ce qui est requis pour leurs objectifs commerciaux ; ainsi que le transfert obligatoire des données PNR et API aux autorités administratives et l’échange de ces données entre États, malgré l’absence de protections légales pour les données partagées avec ces États ou ces entités commerciales.

Résolution

Le TACD exhorte les gouvernements des États-Unis et des États de l’Union européenne à :

  • Mettre fin à la divulgation des données personnelles des passagers aériens voyageant de l’Union européenne à destination des États-Unis, et à leur utilisation par le gouvernement américain entre autres aux fins de tester les systèmes de pré-filtrage comme le programme CAPPS II, jusqu’à ce que :
    • tous les problèmes de protection de la vie privée liés à la mise en œuvre de ce programme aient été résolus de manière satisfaisante, suivant les recommandations du rapport de l’US General Accounting Office (la Cour des comptes américaines) de février 2004 ;
    • et les préoccupations spécifiques à l’Union européenne aient reçu réponse, suivant les recommandations du Parlement européen et du groupe de travail Article 29 des autorités européennes de protection des données.
  • Suspendre la mise en œuvre de l’accord PNR entre l’UE et les USA de mai 2004, jusqu’à ce que la Cour de justice des Communautés européennes ait examiné la compatibilité de la décision de la Commission européenne sur l’adéquation du niveau de protection des données garanti par cet accord, ainsi que celle de l’accord lui-même, avec les règles de l’UE, et jusqu’à ce que la Cour ait rendu sa décision sur la nécessité d’obtenir l’assentiment du Parlement européen sur cet accord avant son entrée en vigueur.
  • Encourager le Congrès des États-Unis à évaluer les risques spécifiques vis-à-vis de la vie privée liés à l’utilisation des informations personnelles des passagers aériens et aux systèmes de pré-filtrage de ces passagers, et à déterminer s’ils recommandent des mesures législatives spécifiques.
  • Interroger non seulement l’adéquation et les objectifs du régime encadrant le transfert des données passagers, mais également la réalité de sa mise en œuvre. Ce régime peut en effet conduire à un système de surveillance globale pour des objectifs généraux d’application de la loi, ainsi qu’à une collaboration accrue entre le gouvernement des États-Unis et des sociétés commerciales en matière de projets de fouille de données sans garanties de protection adéquate de la vie privée. Les objectifs pour lesquels les données passagers sont collectées doivent être strictement définis et leur utilisation limitée à la lutte contre le terrorisme et les infractions liées.
  • Établir un cadre législatif protecteur pour le transfert des données de compagnies aériennes aux autorités administratives américaines, qui soit compatible avec des principes forts de protection de données. Cela implique de :
    • Limiter les éléments de données transférés à ce qui est proportionné aux objectifs poursuivis ;
    • Assurer l’exactitude des dossiers et de l’appariement des dossiers des passagers avec les dossiers « suspects » ;
    • Limiter la rétention de données à des périodes courtes et proportionnées ;
    • Fournir des informations claires et compréhensibles aux passagers, y compris au sujet du contenu et de l’ampleur des données requises, des objectifs de la collecte et des destinataires des données, avant que leurs informations de voyage soient collectées ;
    • Garantir aux passagers l’exercice légal de droits d’accès, de rectification, de modification et/ou suppression de leurs données personnelles ;
    • Garantir aux consommateurs des mécanismes réellement indépendants de réparation, compensation, et recours en cas d’abus et de violation des droits des passagers ;
    • Déterminer à quelles agences et autorités américaines les données PNR seront divulguées ;
    • Rendre l’accord PNR UE-USA et les engagements américains légalement contraignants aux États-Unis, de sorte que les passagers aériens puissent obtenir réparation devant les tribunaux américains.
  • Interdire les transferts de données passagers aux autorités administratives et policières des pays hors UE, à moins que celles-ci ne se conforment à l’accord PNR UE-USA ou à d’autres règles de partage d’informations présentant les mêmes exigences de protection des données.
  • Suspendre la mise en œuvre de l’accord PNR UE-USA jusqu’à ce qu’un mécanisme de mise en place du système de transfert de données dit « push » soit disponible.
  • Évaluer les régimes de transfert de données passagers, les nouveaux standards relatifs aux documents de voyage, ainsi que les systèmes de pré-filtrage et d’identification biométrique des passagers, tels que les programmes CAPPS II et US-VISIT, dans le cadre de la négociation d’accords de protection de la vie privée des voyageurs. Des règles communes de protection des données devraient s’appliquer aux programmes interconnectés qui utilisent ou vont utiliser des données personnelles communes.
  • Modifier les politiques de protection de la vie privée régissant le programme US-VISIT, de sorte que les voyageurs concernés à la fois par l’accord PNR UE-USA et le programme américain US-VISIT soient protégés par le même niveau de protection de la vie privée.
  • Encourager toutes les autorités parties prenantes des débats sur les PNR à consulter les organisations de protection des consommateurs, et inclure des représentants des associations de consommateurs et des autorités de protection des données dans les discussions sur les propositions de l’OACI et autres standards pertinents et dans les délégations gouvernementales présentes aux réunions et groupes de travail de l’OACI, en particulier dans tous les cas où les standards proposés pourraient circonvenir ou altérer les législations et réglementations européennes en matière de protection du consommateur et de protection des données.

Historique et informations détaillées

Articles les plus récents
Dans la même rubrique

Libertés
Pas d'autres articles dans la rubrique Libertés

SPIP | Copyright © 2002 - 2012 SUD Aérien.org | Conception et habillage snoopit31

Mentions légales| squelette | | Plan du site | Suivre la vie du site RSS 2.0