La Commission européenne a adopté le 21 septembre 2010 un paquet de propositions portant sur l'échange des données des dossiers passagers (Passenger Name Record – PNR) avec les pays tiers, qui comprend une stratégie extérieure de l'UE en matière de dossiers passagers et des recommandations relatives à des directives de négociation en vue de la conclusion de nouveaux accords PNR avec les États Unis, l'Australie et le Canada.

"Cette stratégie établit les principes généraux que devrait respecter tout accord PNR conclu avec un pays tiers. Si les données PNR ont fait leurs preuves dans le cadre de la lutte contre les formes graves de criminalité transnationale et le terrorisme, leur utilisation soulève néanmoins des questions importantes en matière de protection des données à caractère personnel", a déclaré Cecilia Malmström, commissaire responsable des affaires intérieures.

De plus en plus de pays tiers utilisent les données des dossiers passagers (en anglais Passenger Name Record ou PNR) dans le contexte de la lutte contre le terrorisme et les formes graves de criminalité transnationale. Les services répressifs peuvent ainsi exploiter les données fournies par les passagers lors de la réservation d'un vol pour enquêter sur des crimes commis, prévenir de nouvelles infractions et effectuer des analyses de risques.

À l'heure actuelle, les échanges de données PNR avec les pays tiers obéissent à différents cadres juridiques. Compte tenu de la popularité croissante des données PNR en tant qu'outil de sécurité, ces divergences pourraient, si elles se maintiennent, porter atteinte à la sécurité juridique et à la protection des données à caractère personnel des passagers.

La communication présentée établit des principaux généraux que tout accord PNR conclu avec un pays tiers devrait respecter.

1. La protection des données à caractère personnel doit être garantie, afin de protéger les droits des passagers :

• les données PNR devraient servir exclusivement à lutter contre le terrorisme et les formes graves de criminalité transnationale ; les catégories de données PNR échangées devraient être limitées à ce qui est nécessaire pour atteindre cet objectif, et être clairement énumérées dans l'accord ;
• les passagers devraient recevoir des informations précises sur l'échange de leurs données PNR, avoir le droit de consulter ces données et disposer d'un droit de recours administratif ou judiciaire effectif, de sorte à assurer le plein respect de la vie privée et à garantir que toute violation de la vie privée donne lieu à la prise de mesures correctrices ;
• les décisions ayant des effets négatifs sur les passagers ne doivent jamais être fondées sur un traitement automatisé des données PNR. Une intervention humaine est obligatoire avant qu'un passager puisse être refusé à l'embarquement. Cette mesure vise à prévenir tout "profilage" ;
• les pays tiers doivent garantir un niveau élevé de sécurité des données et un contrôle indépendant effectif des autorités qui utilisent les données PNR ;
• les données PNR ne peuvent être conservées plus longtemps qu'il n'est nécessaire pour lutter contre le terrorisme et les formes graves de criminalité transnationale, et les pays tiers devraient limiter progressivement l'accès aux données pendant la période de conservation;
• les données PNR ne peuvent être transmises par le pays tiers à d'autres pays tiers (transfert ultérieur) que si ces pays respectent les normes établies dans l'accord PNR conclu entre l'UE et le pays tiers, et seulement au cas par cas.

2. Des modalités de transfert des données PNR doivent être définies, afin de garantir la sécurité juridique aux transporteurs aériens et de maintenir les coûts à un niveau acceptable : les données PNR devraient être transmises à l'aide du système "push", et le nombre de fois que les données sont transmises avant chaque vol devrait être limité et proportionné.

3. Des normes de surveillance de la bonne application de l'accord PNR doivent être prévues, par exemple en ce qui concerne le réexamen, la surveillance et un mécanisme efficace de résolution des litiges.

4. La réciprocité devrait également être assurée. Les informations relatives au terrorisme et aux formes graves de criminalité transnationale, tirées de l'analyse des données PNR par les pays tiers, devraient être transmises à EUROPOL, EUROJUST et les États membres de l'UE.