Stratégie extérieure de l'UE relative aux dossiers passagers: le CEPD demande des conditions plus strictes pour l'utilisation et le transfert des données personnelles des passagers
Le Contrôleur européen de la protection des données (CEPD) a publié aujourd'hui un avis sur la communication de la Commission européenne sur le transfert des données des dossiers passagers (en anglais Passenger Name Record – PNR) vers les pays tiers (*). La communication présente la stratégie extérieure de l'UE sur les dossiers passagers et met en avant les principes généraux, y compris les normes en matière de protection des données, que tout accord PNR avec un pays tiers doit respecter.
Le CEPD accueille favorablement l'approche horizontale suivie par la Commission et soutient l'objectif de parvenir à un niveau élevé et harmonisé de protection des données applicable à tous les régimes PNR actuels et à venir. Il exprime toutefois ses préoccupations en ce qui concerne la nécessité et la légitimité de certains aspects importants des systèmes proposés. Il estime en particulier que l'utilisation proactive des données PNR de tous les passagers à des fins d'évaluation des risques nécessite des justifications et garanties plus explicites.
Peter Hustinx, CEPD, déclare: "Je soutiens l'approche horizontale présentée par la Commission qui représente une étape essentielle vers l'établissement d'un cadre global pour l'échange de données PNR. Néanmoins, pour être recevables, les conditions de collecte et de traitement des données PNR devraient être considérablement restreintes. Je suis particulièrement préoccupé par l'utilisation des régimes PNR pour l'évaluation des risques ou pour le profilage."
Le CEPD souligne également la nécessité d'assurer une cohérence entre les différentes initiatives directement ou indirectement liées au traitement des données PNR, y compris le cadre général européen pour la protection des données - en cours de révision, l'initiative visant à la mise en place d'un système PNR pour l'UE, et les négociations en cours pour un accord UE-Etats-Unis sur le partage des données pour l'application des lois. Etant donné que ces développements évoluent de manière concomitante, il convient de tenir dûment compte de la nécessité d'une approche cohérente et harmonisée en matière de protection des données.
En ce qui concerne le contenu des normes de protection des données, le CEPD demande davantage de précision concernant les garanties minimales applicables aux accords PNR. Des conditions plus strictes devraient en particulier être appliquées en matière de données sensibles, des conditions de transferts ultérieurs (i.e. transferts dans les pays tiers à d'autres autorités publiques), et de rétention des données.
Le CEPD souligne également la nécessité pour tout accord PNR de prévoir expressément les droits directement applicables pour les individus concernés. L'efficacité des procédures d'application est une condition essentielle pour l'évaluation de l'adéquation de tout accord avec les principes de protection des données.
(*) Communication de la Commission, du 21 septembre 2010, relative à la démarche globale en matière de transfert des données des dossiers passagers (PNR) aux pays tiers (COM(2010) 492 final)