Les compagnies aériennes européennes sont prises entre deux feux. D’un côté, les autorités américaines les menacent de lourdes sanctions faute de leur donner accès, à compter de ce 12 septembre, aux fichiers personnels de leurs passagers. De l’autre, la Commission européenne estime que l’ultimatum américain va à l’encontre de la directive européenne sur la protection des données personnelles.
Air France, Lufthansa, British Airways et les autres compagnies européennes sont obligées de violer la réglementation de Bruxelles pour satisfaire Washington, quitte à subir des attaques en justice de la part de leurs propres clients.
A partir d’aujourd’hui, les compagnies aériennes qui ne fourniraient pas aux autorités américaines un accès à leurs fichiers passagers (PNR, pour "Passenger Name
Records") dans les 15 minutes suivant le décollage de leurs avions pourraient subir une amende de 6 000 $ par passager et se voir interdire l’atterrissage aux États-Unis. La plupart des grandes compagnies européennes se sont déjà pliées aux doléances américaines. Mais certaines n’y sont pas encore parvenues, pour des raisons techniques (c’est le cas de SAS, la compagnie scandinave) ou juridiques (Alitalia), rapporte le quotidien britannique The Observer.
Le PNR comprend jusqu’à 39 données personnelles, dont les noms, numéros de téléphones et de carte bancaire (avec sa date d’expiration), adresses (e-mail et physique, plus celles des proches ou de l’employeur), dates et lieux de naissance, préférences alimentaires (kasher, hallal...), éventuels problèmes médicaux, itinéraires, historique de leurs voyages antérieurs ainsi que toute autre donnée d’intérêt général (comportements suspects, apparence physique etc.)
La communication aux forces de l’ordre américaines de ces informations constituerait, selon les instances européennes, une violation de la directive de 1995 sur
la protection des données personnelles.
connectés avec le FBI et Interpol
L’ONG de défense des libertés
Statewatch révèle par ailleurs que les USA réclament également que les noms, prénoms, dates de naissance, citoyennetés, sexes et numéros de passeport des passagers et membres de l’équipage soient entrés dans
l’"Advance Passenger Information System"
(APIS).
Bruxelles n’a jusqu’ici jamais été informé de cette nouvelle procédure, mise en place depuis le 31 décembre 2001. Son utilisation est d’autant plus discutable qu’APIS est interconnecté avec l’Interagency Border Inspection System
(IBIS), une base de données qui recense les personnes suspectes aux yeux de la police américaine.
IBIS est lui-même interconnecté avec les fichiers du FBI, auxquels peuvent accéder une vingtaine d’agences fédérales américaines (FBI, DEA, les services secrets, etc.), mais aussi Interpol.
Un jeu diplomatique tendu
Réclamée le 28 janvier 2003 par le gouvernement américain, et adoptée dès le 18 février par la Commission européenne, la demande d’accès au PNR avait été dénoncée par le Parlement européen le 13 mars dernier.
Ce qui n’avait pas empêché les plus importantes des compagnies aériennes européennes de se plier aux doléances américaines dès le 5 mars dernier, poussant plusieurs ONG européennes de défense des libertés à lancer une campagne internationale de protestation.
En Italie et en Autriche, les autorités administratives en charge de la protection des données s’apprêteraient à interdire à leurs compagnies aériennes de répondre favorablement aux exigences américaines, les plaçant du coup dans une situation commerciale inextricable.
L’imbroglio international est encore renforcé par le fait que le
Canada et
l’Australie ont, eux aussi, demandé aux compagnies européennes d’accéder aux PNR. D’autres pays, y compris au sein de l’Union européenne, pourraient bientôt s’y mettre aussi...
L’Europe insatisfaite des propositions américaines
Le commissaire européen Frits Bolkestein, en charge de ces questions,
intervenait à ce sujet le 9 septembre devant la Commission des libertés et des droits des citoyens, de la justice et des affaires intérieures.
Pour lui, "il est clair qu’on ne peut laisser perdurer la situation actuelle". S’il affirme être "résolument du côté des USA pour ce qui est de lutter contre le terrorisme", il reconnaît néanmoins qu’il s’agit là d’"un véritable problème international". Il faut que l’Europe se montre "réaliste", précise-t-il.
Si Bolkestein reconnaît que les USA ont fait quelques concessions, nombre de problèmes restent encore sans réponse satisfaisante, selon lui.
Ainsi, les données incluses dans le PNR ne seront plus électroniquement accessibles par d’autres agences américaines, qui ne pourront les consulter qu’au cas par cas. Mais le problème de l’APIS et de son interconnection avec IBIS demeure.
La durée de conservation des données a été d’autre part été réduite de 50 années à "seulement" 6 ou 7 ans, ce qui reste disproportionné vis-à-vis du droit européen.
Des filtres pourraient être mis en place afin de laisser de côté les données contenues dans les PNR que l’Europe juge les plus "sensibles" (avant tout la religion et les antécédents médicaux). Mais le débat reste ouvert pour savoir si le transfert des informations personnelles sur les passagers se fera en "push" - afin que ce soit les compagnies aériennes qui envoient les PNR, ce que prônent les Européens, de sorte de pourvoir les filtrer à la source - ou bien en "pull", les Américains disposant d’un accès direct à l’ensemble des données.
Pas de droit d’accès
Un responsable de la protection des données personnelles sera nommé au sein du Department of Homeland Security américain. Ce qui ne donnera pas pour autant aux Européens le droit d’accès et de rectification de leurs données personnelles stockées aux Etats-Unis. Un droit prévu par Bruxelles.
De plus, les autorités américaines se refusent à limiter l’utilisation qui sera faite de ces données aux seules fins de la lutte contre le terrorisme, et prévoient de l’étendre à la lutte contre d’autres formes de criminalité.
Bolkestein devrait rencontrer à ce sujet, le 22 septembre prochain, Asa
Hutchinson, sous-secrétaire d’Etat américain à la sécurité des transports et des frontières. Le commissaire européen espère pouvoir trouver un compromis sur l’ensemble des questions en suspens d’ici à la fin de l’année.
D’ici là, et comme le précise le site d’Air France, les passagers se rendant aux États-Unis qui voudraient faire appliquer "le droit d’opposition dont ils disposent en vertu de l’article 26 de la loi
n°78-17 du 6 janvier 1978 relative à l’informatique aux fichiers et aux libertés, conduirait (Air France) à annuler leur voyage ou certaines des prestations demandées".
"Speech by Frits Bolkestein on transfers of airline passengers’ personal data":
http://europa.eu.int/rapid/start/cgi/guesten.ksh...
"US presses European airlines on data access" (EUObserver):
http://www.euobserver.com/index.pht...
"EU privacy ’blocking terror fight’ "(AP):
http://www.cnn.com/2003/WORLD/europ...
"Terror Rules Could Affect US Flights of Austrian Air Carriers" (Voice Of America):
http://www.voanews.com/article.cfm?...
"Les passagers des vols transatlantiques sont bien fichés par les Etats-Unis" (Transfert):
http://www.transfert.net/a9103
"Vols transatlantiques: l’Europe fournit aux USA les fichiers clients" (Transfert):
http://www.transfert.net/a8543
"Une campagne européenne contre le transfert de données des passagers aériens vers les Etats-Unis" (Transfert):
http://www.transfert.net/a8763
"Transferts des données des dossiers passagers (Passenger Name Record - PNR) de l’UE vers les États-Unis: questions fréquemment posées" (Union européenne):
http://www.europa.eu.int/rapid/start/cgi/guesten.ksh?...
"Transfert aux USA de données personnelles contenues dans les dossiers passagers" (le
dossier de l’ONG IRIS):
http://www.iris.sgdg.org/actions/pn...
"EU-US Airline Passenger Data Disclosure" (le dossier de l’ONG EPIC):
http://www.epic.org/privacy/intl/pa...
Interagency Border Inspection System:
http://www.customs.ustreas.gov/xp/c...
Canada: SIPV / DP (système de l’information préalable sur les voyageurs et du dossier passager):
http://www.ccra-adrc.gc.ca/newsroom...
Lindows harcelé