Système européen sur les données des dossiers passagers: le système proposé ne satisfait pas à l'exigence de nécessité, selon le CEPD

Le Contrôleur européen de la protection des données (CEPD) a adopté, le 25 mars 2011, un avis sur la nouvelle proposition de la Commission visant à imposer aux transporteurs aériens de fournir aux États membres de l'Union les données des dossiers passagers (Passenger Name Record - PNR) de vols à destination ou en provenance du territoire de l'Union afin de lutter contre les infractions graves et le terrorisme. Ces données peuvent inclure, par exemple, l'adresse du domicile, le numéro de téléphone portable, les informations "grands voyageurs", l'adresse e-mail et le numéro de carte de crédit.

Le CEPD reconnaît les améliorations relatives à la protection des données apportées à la présente proposition, comparé à une proposition antérieure adoptée en 2007, et en particulier les efforts visant à restreindre le champ d'application de la proposition et les conditions de traitement des données PNR.

Le CEPD rappelle cependant que la nécessité de recueillir ou de stocker d'énormes quantités de données personnelles doit s'appuyer sur une démonstration claire de la relation entre l'utilisation et le résultat (principe de nécessité). Il s'agit d'un préalable indispensable à tout développement d'un système PNR. Selon le CEPD, la présente proposition ainsi que son analyse d'impact ne parviennent pas à démontrer la nécessité et la proportionnalité d'un système qui prévoit une collecte à grande échelle des données PNR aux fins d'une évaluation systématique de tous les passagers.

Selon Peter Hustinx, CEPD: "Les données personnelles des passagers aériens pourraient certainement être nécessaires à des fins répressives dans des cas bien déterminés, quand survient une menace sérieuse appuyée par des indicateurs concrets. C'est leur utilisation de façon systématique et sans discernement pour tous les passagers qui soulève des préoccupations particulières."

Au delà de cette lacune majeure du système proposé, les recommandations du CEPD incluent les éléments suivants:

• champ d'application: le champ d'application devrait être beaucoup plus limité sur le type d'infractions concernées. Le CEPD recommande de définir explicitement les infractions mineures et de les écarter du champ d'application, ainsi que d'exclure la possibilité pour les États membres d'élargir ce dernier;
• conservation des données: aucune donnée ne devrait être conservée au-delà de 30 jours sous une forme identifiable, sauf dans les cas nécessitant une enquête plus approfondie;
• principes de protection des données: un meilleur niveau de garanties, en particulier en termes de droits des personnes concernées et de transferts vers les pays tiers, devrait être développé;
• liste des données PNR: le CEPD accueille favorablement le fait que les données sensibles ne soient pas inclues dans la liste des données à collecter. Cette liste reste cependant trop vaste et devrait être davantage restreinte;
• évaluation du système PNR européen: l'évaluation de la mise en œuvre du système devrait être fondée sur des données statistiques exhaustives, incluant le nombre de personnes effectivement condamnées - et pas seulement poursuivies - sur la base du traitement de leurs données personnelles.

(*) Proposition de Directive du Parlement européen et du Conseil, du 2 février 2011, relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (COM(2011) 32 final)