avr 12 19

Je ne suis pas à Strasbourg en cette dernière semaine de campagne du premier tour des élections présidentielles, mais mes collègues et mes collaborateurs me tiennent informés de ce qui s'y passe.

Or ce jeudi, le Parlement européen se penchait sur le rapport In’t Veld. Ce rapport porte approbation de "l'accord entre les États-Unis d'Amérique et l'Union européenne sur l'utilisation et le transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure". Rien qu'au nom, vous aurez deviné qu'il s'agit là d'un accord non réciproque dans lequel l'Union accepte de transférer les données personnelles des citoyens européens aux autorités étatsuniennes.

Le Parlement pouvait choisir de bloquer cet accord. Il en avait le pouvoir. Les conservateurs, la droite-chrétienne (PPE), une partie des libéraux et la majorité des sociaux-démocrates ont préféré lui permettre d'entrer en vigueur. Je vous propose ci dessous un décryptage de ce que sont ces fameuses données PNR et des conditions dans lesquelles les USA pourront en faire usage pour les sept ans à venir au moins.

Les données PNR?

Les données PNR (pour "Passenger Name Record") sont les données contenues dans des dossiers de voyage des passagers aériens. Ces informations sont collectées par les compagnies aériennes et les agences de voyage au moment de la réservation

Elles comportent au minimum 19 données: le nom du passager; l'itinéraire; es vols (numéros, dates, horaires); les personnes enregistrées sous le même numéro de réservation; les coordonnées du passager ; les informations de paiement; les réservations d'hôtel et de voiture; les demandes de services spécifiques (numéro de siège, repas spécial, assistance médicale).

Ce sont ces données que les Etats-Unis veulent obtenir pour tous les passagers d'avions à destination ou au départ des Etats-Unis.

Il existe une autre sorte de données: ce sont les API.

Les API (pour "Informations préalables sur les passagers") sont les données d'embarquement des passagers. Ces informations sont collectées au moment de l'embarquement.

Elles comportent: le nom du passager; l'heure et le mode d'enregistrement; les produits achetés dans l'aéroport.

Un échange des données API peut être envisageable. C'était d'ailleurs la position du Parlement européen en Mai 2010. Mais depuis, la majorité s'est ralliée à l'idée que les agences pouvaient transmettre les données PNR des passagers aux autorités australiennes et étatsuniennes.

Suite aux attentats du 11 Septembre 2001 aux USA, des accords pour la transmission de ces données aux Etats-Unis, au Canada et à l'Australie sont en ont été conclus (respectivement en 2004, 2006 et 2008). Aucun parlement n'a eu son mot à dire à leur sujet à l'époque.

Ces accords sont déjà appliqués par les transporteurs aériens européens qui transmettent, à la demande des ministères de l'intérieur des Etats précédemment cités, les données PNR de certains passagers.

Dans le cas des USA, les données PNR de tous les passagers de vols au départ, à destination ou via les États-Unis sont exigées, preuve s'il en est que les systèmes dits "push" (ne pas donner accès au pays tiers directement à la base de données mais lui donner accès aux données PNR sur demande) sont d'un intérêt limité.

Les ressortissants non états-uniens n'ont aucun recours pour faire modifier leur dossier PNR aux USA. Les ressortissants non européens peuvent eux par contre faire appel auprès des institutions compétentes de l'UE pour un dossier PNR en Europe. (à noter qu'au sein de l'UE, seul le Ministère de l'Intérieur du Royaume Uni dispose d'un système de gestion des données PNR)

La Commission a déjà eu l'occasion d'expliquer sa position sur les transferts de données PNR

Dans sa communication du 21 Septembre 2010 sur la démarche globale de l'UE en matière de transfert de données PNR, la Commission expliquait  notamment ceci:

  • Admet sans la moindre pudeur que le transfert de données PNR sert au profilage:

"Les données PNR sont principalement utilisées pour évaluer les risques associés aux passagers et identifier les personnes "inconnues", c'est-à-dire les personnes n'ayant pas encore été suspectées, mais susceptibles d'intéresser les services répressifs"

 "une utilisation proactive (schémas et modèles): Afin d'établir les schémas de déplacement et les modèles comportementaux, les analystes de tendances doivent pouvoir utiliser les données pendant une période suffisamment longue"

  • Comme le profilage est accepté, la durée de conservation des données va de pair…:

"Il convient donc de prévoir à cet effet une période de conservation des données par les services répressifs qui soit proportionnée"

  • Quelles finalités? Pas de limite

Quand elle parle de limitation des finalités, la Commission s'en tient à dire ceci (qui revient à ne rien dire du tout): "la portée de l'utilisation des données par un pays tiers devrait être clairement et précisément définie dans l'accord et ne devrait pas dépasser ce qui est nécessaire compte tenu des objectifs à atteindre"

  • Comment faire rectifier ou supprimer ses données PNR? Pas de réponse

La Commission demande cependant que "chaque intéressé ait accès à ses données PNR et jouisse, le cas échéant, du droit de demander la rectification ou la suppression de ces données" Mais ne dit ni où ni comment

Pour les "décisions ayant des conséquences ou des effets négatifs sur une personne" (par exemple: être mis sur une liste noire comme terroriste et donc ne plus pouvoir circuler où bon nous semble ou ne plus pouvoir se présenter à n'importe quel emploi comme c'est le cas pour notre camarade Paul Emile Dupret, fonctionnaire du groupe GUE/NGL) voici la seule chose qui est proposée: "ne peuvent être fondées uniquement sur le traitement automatisé de données à caractère personnel sans intervention humaine". On est bien avancés!…

  • Les transmissions des données PNR à un autre Etat par l'Etat auquel l'UE les a transmises est permise!

Il suffit que "l'autorité compétente s'engage à garantir le même niveau de protection des données que celui prévu dans l'accord"…

Seule limite numérale indiquée: "une limite raisonnable devrait être fixée au nombre de fois qu'un pays tiers peut demander que les données lui soient transmises"(c'est-à-dire qu'il est possible de demander les données du nombre de passagers qu'on veut. La seule limitation concerne le nombre de fois qu'un Etat peut réitérer sa demande concernant les données d'un même passager)

  • Réciprocité demandée

Audace s'il est: la Commission se permet d'indiquer que "la réciprocité devrait être assurée, notamment par le transfert des informations analytiques tirées des données PNR par les autorités compétentes" (ce qui sous entend que pour le moment les analyses des données PNR des citoyens européens sont jalousement gardées notamment par les USA)

Qu'y a-t-il dans l’accord PNR UE-USA ?

Dans la synthèse qui suit, le sigle DHS désigne le Ministère étatsunien de la sécurité intérieure (Department of Homeland Security)

  • Objet déclaré

"Le présent accord a pour objet de garantir la sécurité et de protéger la vie de la population en veillant à sa sûreté". Rien que ça!… (Art. 1)

  • La responsabilité du tri des données et de l'envoi incombe aux transporteurs aériens et à leurs agents à agréées.

Tous ceux qui stockent des données PNR dans l'UE et qui assurent des vols à destination ou en provenance des USA sont soumis à l'obligation de transmettre les données au DHS. On n'y échappe donc pas même en prenant un vol en provenance d'un autre Etat pour peu que la compagnie soit européenne! (Art. 2)

  • Un instrument du profilage mis en place par les USA

 "Les États-Unis recueillent, utilisent et traitent les dossiers passagers à des fins de prévention et de détection "
-des infractions terroristes (à quoi reconnait-on une personne susceptible de commettre un terroriste? Ce n'est pas dit)
-de la complicité d'actes terroristes (à quoi reconnait-on une personne susceptible d'être complice d'un terroriste? Ce n'est pas dit)
-des infractions passibles de peines de plus de 3 ans (à quoi reconnait-on un criminel? Ce n'est pas dit) (Art. 4)

  • Des données qui peuvent être utilisées à tout propos

Nos dossiers peuvent être utilisés et traités au cas par cas si nécessaire face à une menace grave et pour protéger les intérêts vitaux de toute personne, ou si une juridiction l'impose. (Notez bien que rien n'est précisé: quelle type de menace grave? quels intérêts vitaux? Quels dossiers? Sélectionnés comment?)

Les dossiers passagers peuvent être utilisés et traités par le DHS pour identifier "les personnes qui feraient l'objet d'un interrogatoire ou d'un examen plus approfondis en arrivant aux États-Unis ou en quittant le pays, ou qui pourraient devoir faire l'objet d'un examen supplémentaire". (Il suffit souvent d'avoir séjourné au Venezuela, à Cuba, en Palestine, en Iraq, en Afghanistan, en Iran ou autre pour être interrogé à l'arrivée…) (Art. 4)

  • Le DHS qui assure la sécurité de nos données sans donner de garanties

Les autorités européennes ne contrôlent rien.

Or les risques d'accident ou de divulgation non autorisée de ces données existent comme l'accord le déclare lui même.

Pourtant, en cas d'accident, aucune garantie d'être ne serait-ce qu'informés de cela: "le DHS prend des mesures raisonnables pour informer les personnes concernées si cela se justifie". Quand aux autorités européennes, elles ne seront prévenues que dans les "cas d'incidents graves". (Art. 5)

  • Les données sensibles ne seront pas supprimées

(Données sensibles: données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ou des données relatives à l'état de santé ou à la vie sexuelle des personnes).

Pendant 30 jours, elles seront simplement "filtrées et masquées"  et encore elles ne le seront pas toutes! Le DHS doit encore fournir à la Commission européenne "dans un délai de 90 jours à compter de l'entrée en vigueur du présent accord une liste de codes et termes identifiant les données sensibles qui seront filtrées".

Pour celles qui seront masquées, elles seront rendues accessibles "lorsque la vie d'une personne pourrait être menacée ou mise gravement en péril".

Et au bout de 30 jours? Elles" sont effacées définitivement".
Mais il y a un mais: "Toutefois, les données sensibles peuvent être conservées pour une durée précisée dans la législation des États-Unis aux fins d'enquêtes, de poursuites ou de mesures répressives spécifiques." Notons que la fameuse durée qui peut visiblement varier selon les  cas, ne soit pas citée ici! (Art. 6)

  • Les USA n'égratigneront pas trop nos "intérêts juridiques" (terme qui n'existe pas en français)

Les USA affirment qu'ils"s'abstiennent de prendre toute décision produisant des effets significatifs préjudiciables aux intérêts juridiques des particuliers sur le seul fondement d'un traitement et d'une utilisation automatisés des dossiers passagers".
Quels que soient ces intérêts (vraisemblablement le fait ou non d'être inscrit sur une liste noire), si nos données sont traitées par un humain, ils peuvent y passer. (Art. 7)

  • Les USA conservent les données indéfiniment!

Selon le texte, au bout de 6 mois les données sont "masquées". Rassurant? Pas vraiment: elles peuvent toujours être repersonnalisées en cas de "menace ou risque identifiable".

Cette repersonnalisation est possible pendant 15 ans.

Et après 15 ans? Ils suppriment les données? Pas du tout!

-Les USA s'engagent seulement à les rendre "anonymes", " sans possibilité de repersonnalisation"
-Ils peuvent même les garder en l'état si les données concernées " portent sur une affaire ou une enquête" et ce "jusqu'à la clôture du cas ou de l'enquête". (Art.8)

  • Pas de possibilités de recours assurées

Art.11 Si nous voulons accéder à nos données il faut les demander… aux USA, au DHS qui peut nous les refuser! Il nous notifie alors son refus ou sa limitation d'accès " par écrit "en temps utile" (aucune précision).

Art. 12 Même chose si nous voulons  rectifier, corriger, bloquer ou effacer nos données.

Art. 13 Des recours sont possibles mais seulement "devant un tribunal fédéral américain"! Et si on est débouté? Rien 'est dit!

  • Les USA peuvent transférer nos données aux autorités d'autres pays!

Et nous ne le saurons pas! D'ailleurs même les autorités nationales ne le sauront pas. En effet, le DHS peut transférer les données aux autorités publiques des USA qui en font ce qu'elles veulent! C'est pourquoi il est bien précisé dans l'accord que ce n'est que "lorsque le DHS sait que le dossier passager d’un citoyen ou d’un résident d’un État membre est transféré" que "les autorités compétentes de l’État membre concerné en sont informées" et encore il n'y a pas de garantie d'être prévenue immédiatement: elles seront prévenues " dès que possible".

Quant à la question de savoir combien de temps ces pays peuvent conserver nos données, ce n'est pas précisé! (Art. 17)

  • Pas de réciprocité

Parce qu'il n'y a pas de système de gestion centralisée PNR européen mais aussi et surtout parce qu'il faudrait la négocier cette réciprocité: "la création d'un système de dossiers passagers de l'UE pourrait avoir une incidence significative sur les obligations des parties au titre du présent accord, celles-ci se consultent, dans l'éventualité où un tel système est adopté, pour déterminer si le présent accord nécessite une adaptation en conséquence visant à assurer une réciprocité complète." (Art. 20)

  • Un accord pour 7 ans renouvelable tacitement

Sauf dénonciation (suspension de l'accord sous 120 jours après dénonciation) et sauf notification à la date d'expiration de l'accord, celui-ci est renouvelable tacitement.

En cas de suspension de l'accord, toutes les données PNR obtenues par les USA seront conservées.

Ce nouvel accord signe la soumission de l'Union aux Etats-Unis d'Amérique. Je dénonce ce rapport qui le valide. Comment peut-on avaliser de la sorte l'envoi des données personnelles de tous nos concitoyens à des autorités qui ne garantissent même pas les pauvres conditions qu'elles ont bien voulue accepter? Comment peut-on accepter de n'avoir aucun contrôle sur ces données ni aucun pouvoir pour permettre à nos concitoyens injustement inscrits parmi les terroristes d'obtenir justice? Mon groupe manifeste son total désaccord avec une telle abdication. Je le soutiens pleinement.


Blog basé sur Wordpress © 2011-2015 INFO Service - V3.1 Eur.