A l’occasion du Conseil JAI qui se tenait à Luxembourg, les ministres de l’Intérieur ont procédé le 11 avril 2011 à un premier échange de vues sur la proposition de directive relative à l’utilisation des données des dossiers passagers à des fins de protection contre les infractions terroristes et les formes graves de criminalité. Il s’agit de la fameuse proposition dite "PNR" faite par la Commission au début du mois de février 2011. 

L’objectif de la directive : mettre en place un système PNR à l’échelle de l’UE

L'objectif de la directive proposée est de mettre en place un système cohérent, à l'échelle de l'UE, concernant les données des dossiers passagers, en créant un modèle UE unique pour tous les États membres participant au nouveau système et en assurant la coopération entre les autorités concernées au sein de l'Union. En conséquence, tous les transporteurs aériens effectuant des vols à destination ou en provenance des États membres participants seront tenus de fournir aux services répressifs des États membres les "données des dossiers passagers" (PNR). Ceux-ci ne seront cependant autorisés à utiliser ces données - qui sont déjà recueillies actuellement par les transporteurs aériens - que pour la prévention et la détection des infractions terroristes et des formes graves de criminalité (transnationale), ainsi que pour les enquêtes et les poursuites en la matière.

Les données PNR sont d'ores et déjà conservées dans les systèmes de réservation des transporteurs aériens. Il s'agit des informations que les passagers communiquent aux transporteurs aériens lorsqu'ils réservent un vol et lorsqu'ils procèdent aux formalités d'enregistrement. Elles comprennent le nom du passager, les dates du voyage, l'itinéraire, les informations figurant sur le billet, les coordonnées du passager, le nom de l'agent de voyages auprès duquel le vol a été réservé, le moyen de paiement utilisé, le numéro du siège et des données relatives aux bagages.

L'utilisation de ces données par les services répressifs des États membres dans des cas spécifiques n'est pas quelque chose de nouveau. En effet, plusieurs États membres utilisent déjà des données PNR à des fins répressives, sur la base d'une législation spécifique ou en vertu de compétences générales prévues par la loi. La collecte et l'utilisation des données PNR ont joué un rôle déterminant dans la lutte contre certaines formes de criminalité transfrontière, telles que le trafic de drogue et la traite des êtres humains ou des enfants. Néanmoins, il n'existe pas encore d'approche commune à l'échelle de l'UE sur cette question.

Par ailleurs, les États-Unis, le Canada et l'Australie obligent les transporteurs aériens de l'UE à transmettre ces données pour les passagers de vols à destination ou en provenance de leur territoire. En conséquence, des accords sur les PNR existent entre l'UE et ces pays. Ces accords sont en cours de renégociation.

Le champ d’application de la directive en discussion : doit-elle concerner les vols intracommunautaires ?

Selon les attentes du Conseil, vingt-quatre Etats membres de l’UE pourraient participer à l’adoption de la nouvelle directive. Le Danemark ne sera en effet pas lié par les nouvelles dispositions tandis que l’Irlande et le Royaume-Uni devront indiquer s’ils souhaitent ou non y participer, selon le système d’opt-in applicable pour ces pays.

C’est le champ d'application de la directive qui devait être le principal sujet traité lors de cette session du Conseil.

La proposition de la Commission ne concerne pas les vols effectués à l'intérieur de l'UE, c'est-à-dire qu'elle limite l'obligation de recueillir les données PNR aux vols en provenance et à destination de pays tiers.

A la veille du Conseil, la note d’information diffusée faisait état de "plusieurs autres solutions", ce qu’on appellerait de manière moins partiale "plusieurs autres options". Parmi elles, la possibilité d'inclure dans le système les vols intra-UE. Une variante évoquée consisterait à permettre à chaque État membre d'indiquer les vols intra-EU en provenance ou à destination de son territoire pour lesquels les données PNR devraient être transmises aux services répressifs. Une autre possibilité envisagée serait de rendre obligatoire l'inclusion de tous les vols intra-UE.

Ce fut bien un des grands sujets discutés, à la demande du Royaume-Uni qui entend conditionner de la sorte sa participation au dispositif. D’après les conclusions du Conseil, une majorité d’Etats membres semblent être en faveur d’une option qui permettrait à chaque Etat membre de procéder à la collecte de telles données pour des vols intra-communautaires ciblés.

Les règles proposées visent également à la création d'une norme de l'UE relative à l'utilisation de ces données et comprennent des dispositions sur :

• les fins auxquelles les données PNR peuvent être traitées (évaluation du risque que représentent les passagers avant leur arrivée au regard de critères de risque préétablis ou identification de personnes données; utilisation dans le cadre d'enquêtes/de poursuites spécifiques; utilisation pour la mise au point de critères d'évaluation des risques);
• l'échange de ces données entres les États membres et les pays tiers;
• la conservation (les données sont d'abord conservées pendant trente jours, puis anonymisées et conservées pendant une période supplémentaire de cinq ans, avec des possibilités d'accès très limitées à ces données);
• les protocoles communs et les formats de données utilisés pour le transfert des données PNR des transporteurs aériens aux unités de renseignements passagers; ainsi que
• des garanties solides en ce qui concerne la protection de la vie privée et des données à caractère personnel, y compris le rôle des autorités de contrôle nationales.

"La prudence est de mise", a plaidé, sceptique, le ministre de l’Intérieur luxembourgeois qui s’est montré soucieux de la protection de la sphère privée

Pour le Luxembourg, qui était représenté dans la discussion par son ministre de l’Intérieur, Jean-Marie Halsdorf, le projet de directive doit être mis en œuvre "dans le respect tant des règles applicables en matière de protection des données que des principes de nécessité et de proportionnalité".

"Nous sommes d’avis que l’intrusion dans la sphère privée de nos citoyens doit se limiter au strict minimum", a plaidé Jean-Marie Halsdorf qui a rappelé à ses pairs les doutes émis dans son avis par le Contrôleur européen de protection des données (CEPD).

Dans un avis daté du 25 mars 2011, le CEPD critique en effet la proposition de la Commission en arguant que la nécessité et la proportionnalité du système ne sont pas suffisamment démontrées alors qu'il est prévu une collecte à grande échelle des données PNR aux fins d'une évaluation systématique de tous les passagers.

En ce qui concerne les vols intracommunautaires, "la prudence est de mise", selon Jean-Marie Halsdorf qui a fait part de ses doutes sur le régime de protection des données proposé et sur la réelle valeur ajoutée de cette disposition. Il existe en effet d’autres moyens de transport intracommunautaires qui permettraient de contourner le dispositif PNR, ainsi que l’a rappelé le ministre luxembourgeois, et, comme il l’a précisé au Tageblatt, ces derniers représentent d’ailleurs 80 % des moyens de transport utilisé pour voyager au sein de l’UE.

Du point de vue luxembourgeois, c’est une approche graduelle qui doit primer, et Jean-Marie Halsdorf estime qu’une étude d’impact préalable aurait permis de mieux cerner le problème. Le ministre a par ailleurs invité la Commission à fournir des estimations précises sur l’impact en termes de ressources humaines et financières que ce dispositif aurait pour les Etats membres, sans oublier de faire le détail des cofinancements qu’elle envisagerait le cas échéant.

"Nous ne sommes pas prêts à signer un chèque en blanc", a déclaré au Luxemburger Wort le ministre qui appelle à des règles plus claires en ce qui concerne l’enregistrement des données.