Le CEPD rend un avis sur le nouvel accord UE-USA sur les données des dossiers passagers (données PNR)

Le Contrôleur européen de la protection des données (CEPD) a adopté vendredi dernier un avis sur la proposition de la Commission pour un nouvel accord entre l'UE et les États-Unis sur l'échange de données passagers (données PNR)*. L'accord oblige les compagnies aériennes à envoyer au ministère américain de la sécurité intérieure (DHS) des données relatives à tous les passagers voyageant entre l'UE et les États-Unis.

Le CEPD accueille favorablement les garanties prévues dans le nouvel accord sur la sécurité et le contrôle des données ainsi que les améliorations par rapport à l'accord de 2007. Toutefois, un certain nombre de préoccupations subsistent:

• la période de conservation de 15 ans est excessive : les données devraient être effacées immédiatement après leur analyse ou après une période maximale de 6 mois ;
• la limitation de finalité est trop large: les données PNR ne devraient être utilisées que dans le cadre de la lutte contre le terrorisme ou d'une liste bien déterminée de criminalité transnationale grave ;
• la liste des données devant être transférées au DHS est disproportionnée et comporte trop de champs ouverts: elle doit être rétrécie et exclure les données sensibles;
• il existe des exceptions à la méthode "push": celles-ci devraient être retirées et les autorités américaines ne devraient pas être en mesure d'accéder directement aux données (méthode "pull");
• des limites ont été posées quant à l'exercice des droits des personnes concernées: chaque citoyen devrait être en mesure d'exercer un droit de recours juridictionnel effectif de réparation;
• le DHS ne devrait pas transférer les données à d'autres autorités américaines ou à des pays tiers à moins qu'ils ne garantissent un niveau de protection équivalent.

Peter Hustinx, CEPD, déclare: "Tout accord légitime prévoyant le transfert massif de données personnelles de passagers vers des pays tiers doit remplir des conditions strictes. Malheureusement, de nombreuses préoccupations exprimées par le CEPD et les autorités nationales de protection des données des États membres n'ont pas été rencontrées. Il en va de même des conditions posées par le Parlement européen pour donner son consentement."

Les transferts de données PNR s'opèrent actuellement sur la base d'un accord de 2007, qui est appliqué provisoirement du fait que le Parlement européen a décidé de ne pas donner son consentement jusqu'à ce que ses préoccupations concernant la protection des données soient respectées. Si le Parlement n'approuve pas le nouvel accord, il devra être renégocié.

(*) COM (2011) 807 final: Proposition de décision du Conseil concernant la conclusion de l'accord entre les États-Unis d'Amérique et l'Union européenne sur l'utilisation et le transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure.