Le programme API-PNR France
10 juin 2015
Par Christophe Hypolite, Mission PNR, FranceLe programme de la France relatif aux renseignements préalables concernant les voyageurs (RPCV) et aux dossiers passagers (PNR), dit « programme API-PNR » par référence aux acronymes anglais, a fait l’objet d’une large couverture médiatique suite aux tragiques évènements qui se sont déroulés en France au début de l’année 2015. Cependant, le projet de mise en œuvre d’un système français de traitement automatisé des données passagers remonte bien plus loin dans le temps.
Il débute avec la publication de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme [Loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers] qui transpose une directive européenne du 29 avril 2004 en vertu de laquelle les transporteurs aériens doivent communiquer les renseignements concernant leurs passagers à destination d’un point de passage frontalier de l’Union européenne (UE) [Directive 2004/82/CE du Conseil].
Cette directive européenne ne s’attache qu’au volet RPCV des données passagers. La loi française en étend le champ d’application et prévoit que les données des systèmes de réservation (données PNR) puissent également être collectées et traitées afin « d’améliorer le contrôle aux frontières, de lutter contre l’immigration clandestine et de lutter contre le terrorisme ».
Si le socle législatif français qui couvre ces finalités est en place dès 2006, le gouvernement va toutefois décider de reporter la création du dispositif français suite à la proposition de la Commission européenne de mettre en place un système PNR réglementant l’utilisation de ces données au niveau européen.
Une première proposition de directive du Conseil est présentée le 17 novembre 2007. Cependant, au 1er décembre 2009, date de l’entrée en vigueur du traité de Lisbonne et, avec lui, d’un nouveau cadre institutionnel pour l’UE, la proposition, n’ayant pas été adoptée, devient obsolète. En 2010, le gouvernement français décide de ne plus attendre et de doter la France d’un système d’exploitation des données RPCV et PNR, sans que n’ait été adoptée de « directive PNR ».
Un véritable projet interministériel
En 2011, une mission interministérielle, réunissant les ministères de l’intérieur, de la défense, des transports et du budget, est mise sur pied avec pour mandat d’évaluer, d’une part, la faisabilité du projet de création d’une Unité d’Information Passagers (UIP) chargée de collecter et traiter les données passagers, et, d’autre part, de préparer les appels d’offres correspondants et de suivre l’exécution des marchés publics. Par ailleurs, cette « Mission PNR » doit participer à l’évolution de la réglementation nationale et inscrire ses réflexions dans un cadre européen marqué par le projet européen de directive PNR toujours en discussion.
Le 3 février 2011, la Commission présente une nouvelle proposition de directive du Parlement européen et du Conseil relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité. Ce faisant, elle prenait acte des changements procéduraux apportés par le traité de Lisbonne et des réticences suscitées par cette proposition, notamment sur la question de la protection des données (plus particulièrement sur la durée de conservation des données et le traitement des données sensibles).
Cette proposition sur les PNR entrait dans le cadre de la « procédure de codécision » selon laquelle le Parlement européen et le Conseil des ministres de l’UE légifèrent sur un pied d’égalité. En avril 2012, la proposition, qui avait suscité de larges discussions au sein de la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen, a fait l’objet d’un consensus politique en Conseil « Justice et affaires intérieures » (JAI) qui réunit les représentants des gouvernements des Etats membres.
Rejetée ensuite par la Commission LIBE au printemps 2013, elle n’a pas été réexaminée jusqu’au renouvellement du Parlement en juin 2014. A la suite des attentats terroristes du mois de janvier à Paris, et sous la pression des Etats, le Parlement a néanmoins indiqué son souhait d’adopter un texte avant la fin de l’année 2015 en l’assortissant toutefois d’un certain nombre de conditions.
Aperçu du « dispositif API/PNR »
Pour permettre aux États membres de mettre en place leur programme PNR sans attendre cette adoption, la Commission européenne lançait, fin 2012, sur le fonds ISEC (prévenir et combattre la criminalité), un appel à projets doté d’une enveloppe de 50 millions d’euros. 14 États membres avaient obtenu un financement en septembre 2013. 17,8 millions d’euros avaient été alloués à la France, soit un peu plus de la moitié du budget nécessaire au développement du dispositif. Cette dotation a permis de notifier les marchés dont les procédures avaient été lancées en mai 2013. Deux contrats ont ainsi été passés pour une durée de quatre ans, jusqu’en janvier 2017 : l’un avec un prestataire d’assistance à maîtrise d’ouvrage apportant son support à l’administration, et l’autre avec un maître d’œuvre devant développer le système informatique de transmission des données en lui-même.
En l’absence d’un cadre réglementaire européen, un dispositif législatif national largement fondé sur le projet de directive a été voté pour autoriser la création de ce nouveau système : l’article 17 de la loi de programmation militaire pour 2014-2019 (codifié à l’article L232-7 du Code de la Sécurité Intérieure) prévoit ainsi de créer, à titre expérimental, jusqu’au 31 décembre 2017, un système automatisé de traitement des données RPCV et PNR.
Le recueil des données porte sur l’ensemble des vols à destination et en provenance du territoire national, à l’exception des vols reliant deux points de la France métropolitaine. Les transporteurs aériens ont pour obligation de communiquer les données demandées à deux reprises, une première fois 48 heures avant le vol (PNR) et une deuxième fois à la clôture du vol (RPCV et PNR), sous peine de s’exposer à une amende de 50 000 euros maximum pour chaque vol.
Les données sensibles ne seront ni traitées ni conservées. Sont ainsi exclues de ce traitement automatisé de données les données à caractère personnel susceptibles de révéler l’origine raciale ou ethnique d’une personne, ses convictions religieuses ou philosophiques, ses opinions politiques, son appartenance à un syndicat, ou les données qui concernent la santé ou la vie sexuelle de l’intéressé.
Les finalités du traitement des données sont la prévention et la constatation des actes de terrorisme, des infractions mentionnées à l’article 695-23 du code de procédure pénale (participation à une organisation criminelle, traite d’êtres humains, trafic illicite d’armes ou de stupéfiants, etc.) ainsi que les atteintes aux intérêts fondamentaux de la Nation.
Un décret en Conseil d’État, pris après l’avis de la Commission Nationale Informatique et Liberté, a été publié le 26 septembre 2014. Ce décret liste les services autorisés à interroger l’Unité d’Information Passagers (UIP) chargée de la collecte des données auprès des transporteurs aériens, de leur conservation et de leur analyse. Ces services (les ministères de l’intérieur, de la défense et celui chargé des douanes) n’auront pas un accès direct aux données. Ils devront s’adresser à l’UIP. Celle-ci validera leurs demandes avant de lancer les traitements correspondants et devra également valider les résultats avant leur transmission aux services demandeurs. Les données RPCV et PNR seront conservées pour une durée maximale de cinq ans comme prévu par la proposition de directive européenne.
Le décret du 26 septembre 2014 autorise la collecte des données à partir du 1er janvier 2015. Celle-ci se fera de manière progressive : 4 compagnies (Air France, Delta Airlines, Etihad, Europe Airpost) participent à la mise au point du « programme API-PNR France ». Avant fin 2015, 26 compagnies aériennes supplémentaires seront raccordées. Dans un premier temps, seuls les vols extra communautaires sont traités (environ 40 millions de passagers par an sur un total de 100 millions).
Pour une collecte des données harmonisée
Tout au long de l’étude de faisabilité, la Mission PNR a mené de nombreux échanges avec les pays ayant déjà mis en place leur programme national : Etats-Unis, Canada, Australie ainsi que Royaume-Uni. Ce partage de connaissances était indispensable pour la France afin d’aborder plus sereinement la problématique de la collecte des données et le monde aérien dans son ensemble, sans « réinventer la roue ». Elle a aussi bien entendu pris compte des standards et des bonnes pratiques définis par les gouvernements et l’industrie sous l’égide de l’IATA, de l’OACI et de l’OMD.
Pour les données issues des systèmes d’enregistrement (RPCV), le standard peut être considéré comme mature : un message informatique standard, appelé message PAXLST, a été mis au point pour la transmission du manifeste des passagers. Utilisé de longue date par l’industrie, le message est assez court et peut être transmis aisément par les réseaux de communication traditionnels des compagnies aériennes.
La France respecte le cadre défini par ce message standard mais a proposé d’inclure dans la liste des données RPCV le poids des bagages (les directives RPCV OMD/IATA/OACI ne font actuellement mention sous la catégorie « informations concernant les bagages » que du nombre de bagages enregistrés et, le cas échéant, du numéro des étiquettes apposées sur chacun d’eux). Cette proposition a été très largement approuvée par les États représentés lors du dernier Comité de Contact RPCV-PNR.
Quant au système de collecte et de traitement des données de réservation (PNR), plusieurs travaux ont guidé sa mise en œuvre. Parmi eux figure une « check-list » élaborée par le groupe de travail PNRGOV, qui réunit des représentants des États et des industriels du monde aérien (compagnies aériennes, grands prestataires et éditeurs de systèmes de réservation et d’enregistrement), pour entreprendre de manière optimale un projet PNR national. Sont énumérées ci-dessous quelques-unes des idées importantes contenues dans cette liste :
- Déterminer le plus tôt possible le porteur du projet ou l’entité interministérielle (comme ce fut le cas en France).
- Déterminer de manière assez précise les volumes, les coûts, le budget et si les développements seront internes ou externes.
- Mettre en œuvre une législation nationale et analyser la problématique des relations avec les États tiers qui pourraient limiter l’accès aux données.
- Se familiariser avec la documentation disponible (par exemple sur le site de l’OMD).
- Identifier les données à collecter (dans le cadre de la norme), la manière de les collecter en proposant soit une connexion internet directe, soit indirecte utilisant les infrastructures d’une société tierce (SITA, Rockwell Collins/Arinc).
- Identifier les vols et les acteurs du monde aérien concernés.
- Définir une stratégie de test basée sur une relation personnalisée avec chaque compagnie impliquée.
- Publier sa propre documentation, initier l’information auprès des instances représentatives des compagnies aériennes.
- Mettre en place l’analyse de la qualité des données reçues, son suivi, les tableaux de bord.
Le « dispositif API/PNR » utilise le message PNRGOV, issu des travaux du groupe de travail conjoint industrie-gouvernement PNRGOV, dont la finalité est de faciliter l’échange d’informations entre les systèmes de réservation des compagnies aériennes et les dispositifs gouvernementaux.
Plus récent, plus long et donc requérant des capacités réseaux plus conséquentes, le standard PNRGOV pose plus de difficultés dans sa mise en œuvre que le message PAXLST, son équivalent pour les RPCV. Même s’il est largement promu, industrie et gouvernements sont encore dans une phase d’apprentissage : le standard peut être sujet à interprétations. Néanmoins, il y a de nombreux avantages à utiliser ce standard : une mise en œuvre plus rapide, un contrôle des coûts, des tests moins longs et, au final, une amélioration de la qualité des données.
Par ailleurs, il est ici nécessaire de rappeler que les données PNR sont des données commerciales d’abord collectées par l’industrie pour l’industrie. En conséquence, seules les données collectées pour les besoins commerciaux seront transmises comme stipulé dans le document 9944 de l’OACI. En termes de connectivité, le dispositif français offrira le plus d’options possibles aux compagnies aériennes et à leurs prestataires pour s’y connecter à moindre frais.
Dès le début 2014, parmi les États européens ayant bénéficié du fonds ISEC, il est apparu qu’il y avait un véritable risque si chacun travaillait sans approche commune, en se basant sur les seuls documents normatifs. Le risque porte également sur les délais et les coûts de réalisation pour les compagnies aériennes et leurs prestataires si leur sont présentés 28 systèmes, certes proches, mais suffisamment éloignés pour nécessiter des travaux d’adaptation. C’est la raison pour laquelle la France a pris l’initiative de lancer, avec plusieurs autres États membres (Espagne, Estonie, Royaume-Uni, Hongrie, Pays-Bas, Suède), une démarche d’harmonisation de la collecte des données. L’objectif est de développer un document qui trouverait sa place en complément de ceux cités plus haut et d’établir ainsi une base consensuelle à présenter à l’industrie. Le groupe de travail PNRGOV réuni en avril 2015 a très bien accueilli l’initiative et a souhaité que le document s’intègre dans la documentation actuelle.
La France, qui participe aux travaux du groupe de travail PNRGOV depuis 2013, conseille aux États qui souhaitent lancer leur propre programme PNR de se joindre aux discussions qu’elle organisent et qui ont lieu deux fois par an, au printemps et en automne, ainsi qu’à celles qui se déroulent en automne à l’OMD, durant les travaux du Comité de Contact RPCV-PNR.
En finir avec un traitement « artisanal » des données
Le projet français sera opérationnel, au sens d’un nouvel outil mis à disposition des services, début 2016. Sa montée en puissance sera progressive en fonction des fonctionnalités disponibles et des compagnies aériennes raccordées au système. D’abord limité à moins de vingt personnes, l’armement de l’UIP française atteindra plus de 70 personnes pour assurer un fonctionnement 24 heures sur 24 fin 2016, début 2017. L’UIP sera basée à proximité de l’aéroport de Roissy Charles de Gaulle. Les personnels seront issus des quatre administrations partenaires (intérieur, défense, transports, douanes).
L’automatisation des techniques existantes offre de réelles potentialités. En effet, aujourd’hui 70 % des saisies de produits stupéfiants réalisées par la Douane française sur le vecteur aérien résultent de l’utilisation de techniques de ciblage des passagers quasiment intégralement manuelles. L’efficacité des contrôles s’en verra fortement améliorée apportant une meilleure fluidité de la circulation des passagers dans les aéroports.
Le « système API-PNR » proposera un certain nombre de fonctionnalités de recherche, de ciblage et de criblage afin :
- d’obtenir des informations dans la base des données passagers à partir de critères combinés (ex. : rechercher l’éventualité de vols communs à plusieurs membres d’un réseau connu des services) ;
- d’identifier des personnes à risques à partir de profils type testés au préalable pour en accroître l’efficacité (ex. : identifier des personnes transportant des stupéfiants) ;
- d’effectuer un rapprochement des données des passagers collectées avec celles issues des fichiers nationaux, européens ou internationaux de personnes connues ou recherchées, de documents volés ou perdus, et de router, après validation par l’UIP, les « hits » aux services chargés des contrôles dans les zones aéroportuaires ;
- de mettre en attention une ou plusieurs personnes ou objets pendant une période donnée (ex. : s’assurer qu’un suspect ne parte pas à l’étranger par voie aérienne).
Par ailleurs, le système permettra de remonter un bilan de chaque contrôle effectué par les services pour mettre à jour une liste blanche de faux « hits » afin que la personne ne fasse pas l’objet d’un contrôle lors de son prochain voyage et/ou d’améliorer l’efficacité des profils de ciblage.
En ce qui concerne la Douane, le « système API-PNR » améliorera sa performance dans la lutte contre le trafic de stupéfiants, d’armes, de contrefaçons, de biens culturels par exemple. L’analyse de l’information sera disponible en amont d’un vol. Il deviendra possible d’identifier de manière « industrielle » et très rapide les routes sensibles ou illogiques, les allers-retours trop rapprochés vu le poids des bagages accompagnant les passagers, les formes de paiement inhabituelles, les agences de voyage suspectes… ou une combinaison de ces différents critères.
En savoir +
christophe.hypolite@douane.finances.gouv.fr