Le fichage des passagers aériens

Un décret (n° 2014-1095 du 26 sept. 2014) publié au JO du 28 septembre crée API-PNR France, le nouveau traitement de données à caractère personnel pour le recueil et la transmission, par les transporteurs aériens, des données d’enregistrement relatives aux passagers des vols à destination et en provenance du territoire national (à l’exception des vols reliant deux points de la France métropolitaine). Il insère ainsi les articles R. 232-12 et suivants dans le CSI.

Ce traitement est créé, en application de l’article L. 232-7 CSI (lui même créé par la loi n° 2013-1168 du 18 déc. 2013), pour les besoins de la prévention des actes de terrorisme, des infractions mentionnées à l’article 695-23 du code de procédure pénale (trafic illicite de stupéfiants et de substances psychotropes, contrefaçon…) et des atteintes aux intérêts fondamentaux de la Nation, du rassemblement des preuves de ces infractions et de ces atteintes ainsi que de la recherche de leurs auteurs.

Le traitement de données à caractère personnel est confié à une unité de gestion à compétence nationale, dénommée « Unité Information Passagers » (UIP) qui est rattachée au ministre des Douanes. Le décret précise par ailleurs la finalité de ce traitement automatisé ainsi que les modalités de la collecte des données d’enregistrement (« Advance Passenger Information », ou API) et de réservation ((« Passenger Name Record », ou PNR) des passagers aériens, lesquelles données regroupent des informations quant à l’identité des passagers et à leur voyage. Ainsi, seront enregistrés par exemple, les données du programme de fidélité du passager ou son numéro de siège dans l’avion.

Les conditions d’exploitation des données et leur durée de conservation sont précisées, tout comme les catégories de personnes y ayant accès, celles qui peuvent en être légitimement destinataires et les modalités d’habilitation de ces personnes. Enfin, la traçabilité des accès, le droit d’accès aux données, le droit d’opposition (non applicable ici) et le droit d’information sont autant de points abordés par le décret (CSI, art. R. 232-12 et s.).

La CNIL avait été sollicitée au sujet de ce nouveau fichier.

Dans sa délibération du 17 juillet (n° 2014-308, JO du 28 sept.) elle a indiqué que les finalités poursuivies sont déterminées, explicites et légitimes, conformément à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les données traitées sont, selon elle, adéquates, pertinentes et non excessives au regard desdites finalités, et leur durée de conservation n’excède pas la durée nécessaire à ces dernières.

En revanche, elle précise que, eu égard à l’ampleur de ce traitement de données (nombre de personnes concernées, volume de données collectées, grand nombre de personnes susceptibles d’y avoir accès, conditions d’exploitation de ces données), celui-ci est susceptible de porter une atteinte particulièrement grave au droit au respect de la vie privée et à la protection des données personnelles. Aussi préconise-t-elle la mise en place d’une évaluation rigoureuse avant d’envisager ou non de maintenir le traitement. et elle recommande la mise à jour des mesures de sécurité prévues par le décret, en fonction d’une réévaluation régulière des risques.

Enfin, on retiendra que l’avis ajoute que tous les éléments mentionnés à l’article 39 de la loi du 6 janvier 1978, et notamment à l’article 39-1-5° (informations permettant de connaître la logique qui sous-tend le traitement), devront être communiqués à toute personne en faisant la demande.

On rappellera que ce dispositif revêt un caractère expérimental, ayant vocation à s’appliquer jusqu’au 31 décembre 2017.

Olivier Martineau

  1. Pas encore de commentaire
  1. Pas encore de trackbacks