Depuis le 5 mars dernier, les douanes américaines peuvent consulter les dossiers des passagers qui empruntent les vols de toutes les compagnies européennes en direction des Etats-Unis ou qui transitent par leur territoire. Suite à une demande américaine, la Commission européenne avait rendu le 18 février dernier un avis provisoire favorable à ces transferts de données personnelles. Malgré l’absence de toute décision officielle de l’Union européenne, cette mesure très contestée a bien été mise en oeuvre par les transporteurs sous la pression des autorités américaines.
Statewatch, une ONG européenne spécialisée dans la défense de la vie privée, a pu obtenir le 8 juillet une confirmation de l’accès des douanes américaines aux dossiers des clients des compagnies européennes. Cette confirmation a été obtenue auprès d’un porte-parole d’Amadeus System, un consortium informatique qui traite l’immense majorité des réservations sur des vols transitant par l’Europe.
La direction d’Amadeus System déclare aujourd’hui à Transfert que sa base de données est ouverte aux douanes US depuis le 5 mars dernier, suite à une demande conjointe d’Air France, Lufthansa, Iberia et British Airways, qui sont à la fois les principaux actionnaires et les principaux clients d’Amadeus.
De son côté, Air France précise que toutes les autres compagnies aériennes européennes ont aujourd’hui donné leur accord pour ouvrir les dossiers de leurs clients aux autorités américaines.
Les données accessibles sont appelées "Passengers Name Records" (PNR). Elles contiennent, entre autres, les nom, adresse, numéro de téléphone et de carte de crédit de chaque passager, ainsi que le détail de son itinéraire et des prestations demandées à bord. En tout, les fichiers PNR contiennent quarante entrées distinctes par client.
7 ans de fichage
A la direction de la communication d’Air France, on explique : "Les Etats-Unis ne nous ont guère laissé le choix." En effet, une loi votée par le Congrès américain dans les mois qui ont suivi les attentats du 11 septembre 2001 oblige chaque compagnie aérienne à fournir l’ensemble des informations dont elle dispose sur ses clients voyageant vers ou en provenance des Etats-Unis. La loi prevoit de nombreuses sanctions à l’égard des éventuelles sociétés récalcitrantes, à commencer par une amende de 10 000 dollars (8 818 euros) par vol.
Cette vaste collecte d’informations personnelles a pour but d’alimenter une base de données anti-terroriste, mise en place en 2001 par le gouvernement américain et baptisée CAPPS II : Computer Assisted Passenger Pre-screening System ("Système assisté par ordinateur de pré-contrôle des passagers").
Le 18 février, ce transfert aux autorités américaines de données concernant les clients de compagnies aériennes européennes avait reçu un avis provisoire favorable de la Commission de Bruxelles. Depuis, plus rien.
Or, CAPPS II compte de nombreux détracteurs en Europe. Le 13 mars dernier, le Parlement européen lui-même a adopté une résolution dénonçant l’aval donné par la Commission. Pour le Parlement, les données réclamées par les Etats-Unis violeraient la directive européenne sur la protection des données personnelles adoptée en 1995. Les informations stockées dans le cadre de CAPPS II pourront être conservées pendant 7 ans, une durée que les eurodéputés jugent très excessive.
L’Europe, aussi critique que prudente
L’accord donné aux Américains fait débat jusqu’au sein même de la Commission européenne. Le 13 juin dernier, le groupe de travail sur la protection des données personnelles de la Commission, baptisé "Article 29", a rendu un avis très critique à l’égard du transfert de données vers les Etats-Unis dans le cadre de CAPPS II. Le groupe d’experts européens avance notamment que "le volume de données devant être transféré va bien au-delà de ce qui pourrait être estimé adéquat, pertinent et non excessif". Le nombre de voyageurs concernés est évalué à "au moins 10-11 millions de personnes par année".
Les membres d’"Article 29" s’inquiètent aussi de l’usage abusif des données recueuillies. Ils écrivent : "Une clarification est aussi nécessaire quant aux autres entités publiques autorisées à recevoir les données, étant donné qu’elles ne sont toujours pas identifiées."
Pour les compagnies aériennes europénnes, cet assaut de critiques ne pèse guère dans la balance. Un cadre d’Air France remarque : "Personne ne peut se permettre d’être mis à l’index par les Etats-Unis."
Les passagers savent-ils qu’ils sont fichés par les Etats-Unis ? A Air France, on assure jouer la transparence. L’information figure bien sous le chapître "Données personnelles" des conditions générales de vente de la compagnie française. On peut y lire que "l’intégralité des informations personnelles que les clients (d’Air France, ndlr) lui communiquent au moment de la réservation seront directement accessibles aux autorités américaines." Le texte existe également sur internet. Mais il faut surfer longtemps avant de le dénicher.
L’article publié le 8 juillet par Statewatch:
http://www.statewatch.org/news/2003...
La position officielle de la Commission européenne sur CAPPS II:
http://www.europa.eu.int/comm/exter...
L’avis rendu par le groupe de travail sur la protection des données personnelles de la Commission européenne:
http://europa.eu.int/comm/internal_...
Un descriptif d’Amadeus System:
http://iwork.iagora.com/jobs/France...
Dans les conditions générales de vente d’Air France, le passage qui concerne CAPPS II:
http://cars.airfrance.fr/double6/FR...