Directive (EU) 2016/681 du 27 avril 2016 «relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière »

La nouvelle Directive PNR a été publiée au JO de l’Union européenne du 4 mai 2016 et devra être transposée dans la loi nationale de chaque État membre au plus tard le 25 mai 2018.

Elle contraindra les compagnies aériennes à fournir aux autorités nationales les données des passagers pour tous les vols à partir d'un pays tiers vers l'UE et inversement.

«Dossier(s) passager(s)» ou «PNR»

Le « dossier passager » ou « PNR » est défini par la Directive comme « un dossier relatif aux conditions de voyage de chaque passager, qui contient les informations nécessaires pour permettre le traitement et le contrôle des réservations par les transporteurs aériens concernés qui assurent les réservations, pour chaque voyage réservé par une personne ou en son nom, que ce dossier figure dans des systèmes de réservation, des systèmes de contrôle des départs (utilisés pour contrôler les passagers lors de l'embarquement) ou des systèmes équivalents offrant les mêmes fonctionnalités ».

Les données couvertes par la Directive sont listées dans son annexe I.

« Unité d'informations passagers» ou « UIP »

Les données de PNR collectées par les transporteurs aériens ne seront pas centralisées au niveau européen mais par des « Unité d'informations passagers » crées par chaque États membres.

Les informations seront conservées pendant une période de 5 ans, mais après un délai de six mois, les données seront « masquées » (c'est-à-dire que des éléments qui peuvent mener à l'identification de la personne, tels que le nom, l'adresse et les coordonnées, seront supprimés).

L'UIP sera responsable de la collecte des données PNR, de leur stockage, de leur traitement, de leur transfert aux autorités compétentes, et de leur échange avec les unités de renseignements sur les passagers des autres États membres et avec Europol. Ce transfert ne peut pas être systématique mais devra se faire au cas par cas et « uniquement à des fins de prévention ou de détection d'infractions terroristes ou d'infractions graves, ainsi que d'enquêtes ou de poursuites en la matière ».Les infractions graves concernées sont listées en annexe de la directive.

Champs d’application concernant les vols

La directive s'appliquera aux « vols extra-UE », mais les États membres pourront étendre cette application aux « vols intra-UE » (c'est-à-dire d'un État membre à l'autre), à condition d'en informer la Commission européenne.

Les pays de l'UE pourraient également choisir de collecter et traiter les données PNR des agences de voyage et des tour-opérateurs (opérateurs économiques autres que les transporteurs aériens) étant donné qu'ils gèrent aussi la réservation de vols.

Garanties sur la protection des données

Des mesures de sécurité et de confidentialité seront mises en place. Les failles de sécurité créant un risque pour les personnes concernées devront être notifiées.

Les unités devront nommer un « délégué à la protection des données » chargé de contrôler le traitement des données PNR et de mettre en œuvre les garanties correspondantes.

Les États membres veillent à ce que l'UIP tienne des registres au moins pour les opérations de traitement suivantes: la collecte, la consultation, la communication et l'effacement.

Il sera explicitement interdit de traiter des données à caractère personnel révélant l'origine raciale ou ethnique de l'individu, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance syndicale, ainsi que les données concernant sa santé, sa vie sexuelle ou son orientation sexuelle.

L'évaluation des passagers, avant leur arrivée prévue dans l'État membre ou leur départ prévu, au regard de critères préétablis, est réalisée de façon non discriminatoire. Ces critères préétablis doivent être ciblés, proportionnés et spécifiques.

Aucune décision ne pourra être prise concernant un passager aérien sur le simple traitement automatique de ses données PNR. Les évaluations effectuées à partir des données devront être « réexaminées individuellement par des moyens non automatisés ». Plus généralement, les autorités compétentes ne pourront prendre aucune décision produisant des effets juridiques préjudiciables à un passager ou l’affectant de manière significative sur la seule base du traitement automatisé de données PNR.

Clause de révision

La Commission européenne devra mener une révision de la directive sur les PNR de l'UE deux ans après sa transposition en droit national. Elle devra accorder une attention particulière au respect des normes de protection des données à caractère personnel, à la nécessité et la proportionnalité de la collecte et du traitement des données pour chacun des objectifs énoncés, à la durée de conservation des données, ainsi qu'à « l'efficacité du partage des données entre les États membres ».

Obligations pour les transporteurs

Les transporteurs aériens devront transférer à l’UIP compétent, les données PNR y compris les données API (d'informations préalables relatives aux passagers), par voie électronique au moyen de protocoles communs par la « méthode push » et dans certains cas aussi à la demande « pour répondre à une menace précise et réelle ».

Enfin, pour s’assurer que les transporteurs aériens respectent leurs obligations de collecte et de transfert des données PNR, les États membres pourront prévoir des sanctions effectives, proportionnées et dissuasives, y compris des sanctions financières.

Les transporteurs aériens doivent donc s’organiser en conséquence pour répondre à leurs obligations en matière de collecte et de transfert des données, tout en se préparant par ailleurs au nouveau Règlement sur la Protection des Données Personnelles qui sera directement applicable dans chacun des États membres le 25 mai 2018.