Le 14 avril 2015, le Parlement européen a adopté la directive réglementant l’utilisation dans l’Union européenne des données des dossiers passagers (PNR) pour la prévention et la détection d’infractions terroristes et de formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.
Ce texte contraindra les compagnies aériennes à fournir aux autorités nationales les données des passagers pour tous les vols à partir d’un pays tiers vers l’UE et inversement.
Le texte a été adopté par 461 voix pour, 179 voix contre et 9 abstentions.
Les Etats membres devront créer des « unités de renseignements sur les passagers » pour gérer les données PNR collectées par les transporteurs aériens. Ces informations seront conservées pendant une période de cinq ans, mais après un délai de six mois, les données seront « masquées », c’est-à-dire que des éléments qui peuvent mener à l’identification de la personne, tels que le nom, l’adresse et les coordonnées, seront supprimés.
L’unité de renseignements sur les passagers sera responsable de la collecte des données PNR, de leur stockage, de leur traitement, de leur transfert aux autorités compétentes, et de leur échange avec les unités de renseignements sur les passagers des autres Etats membres et avec Europol. La directive stipule que de tels transferts devraient seulement être effectués au cas par cas et « uniquement à des fins de prévention ou de détection d’infractions terroristes ou d’infractions graves, ainsi que d’enquêtes ou de poursuites en la matière ».
La directive s’appliquera aux « vols extra-UE », mais les Etats membres pourront étendre cette application aux « vols intra-UE » (c’est-à-dire d’un Etat membre à l’autre), à condition d’en informer la Commission européenne.
Les pays de l’UE pourraient également choisir de collecter et traiter les données PNR des agences de voyage et des tour-opérateurs (opérateurs économiques autres que les transporteurs aériens) étant donné qu’ils gèrent aussi la réservation de vols.
Les mesures mises en place pour garantir la protection des données sont les suivantes :
– les unités nationales de renseignements sur les passagers devront nommer un délégué à la protection des données chargé de contrôler le traitement des données PNR et de mettre en uvre les garanties correspondantes ;
– l’accès à l’ensemble des données PNR – qui permet aux utilisateurs d’identifier immédiatement le sujet des données – devrait uniquement être octroyé dans des conditions très strictes et limitées après la période de conservation initiale ;
– tout traitement des données PNR devrait être journalisé ou faire l’objet d’une trace documentaire ;
– il sera explicitement interdit de traiter des données à caractère personnel révélant l’origine raciale ou ethnique de l’individu, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance syndicale, ainsi que les données concernant sa santé, sa vie sexuelle ou son orientation sexuelle.