L’expérience de l’Indonésie dans la mise en place de son système douanier d’échange de données passagers
10 juin 2015
Par M. Agung Krisdiyanto, Direction de la lutte contre la fraude et des enquêtes de la Douane indonésienneLa Douane indonésienne a commencé à travailler sur l’échange électronique de données passagers avec les compagnies aériennes au début de l’année 2008, dans le cadre de la mise en place d’un système de transmission des renseignements préalables concernant les voyageurs (RPCV). A l’époque, les techniques de traitement des données passagers consistaient à passer au crible les RPCV extraits des systèmes de contrôle des départs des lignes aériennes, via le réseau de la Société internationale de télécommunications aéronautiques (SITA), et à demander que les données des dossiers passagers (PNR pour Passenger Name Record) pour des vols spécifiques soient transmises par courriel ou en version papier.
Après deux ans de travaux préparatoires, le nouveau système RPCV a enfin été lancé officiellement en décembre 2009. Il s’agissait d’un système par lots non interactif construit conformément aux Directives RPCV élaborées par l’OMD, l’Association internationale du transport aérien (IATA) et l’Organisation de l’aviation civile internationale (OACI). La plupart des lignes aériennes n’étant pas équipées pour la transmission de données sur les bagages et les numéros de siège, seuls 12 des 14 éléments de données exigés leur ont été demandés au début, afin de leur donner le temps nécessaire pour se mettre en conformité.
Le nouveau système de contrôle des voyageurs permettait de passer au crible tous les passagers et le personnel de bord, entrants et sortants, de façon plus efficace. Toutefois, la hausse rapide du nombre de passagers aériens entrant sur le territoire indonésien ou en sortant et le besoin de faciliter la circulation des voyageurs et de protéger les frontières des risques émergents ont mené la Douane à se pencher sur la possibilité d’utiliser de façon plus systématique les données des dossiers passagers entreposés dans les systèmes informatisés de réservation (SIR) des lignes aériennes, et ce, afin de renforcer sa capacité à mener à bien son mandat en matière de sûreté.
Comparé aux RPCV, le déploiement d’un système de transmission et de traitement pour les dossiers passagers (PNR) allait se révéler très différent.
- Premièrement, eu égard au volume de données à traiter : jusqu’à 76 éléments de données pour les dossiers passagers alors que pour les RPCV, ils ne sont que 14.
- Deuxièmement, compte tenu du degré de normalisation des données : la norme pour les données RPCV est pratiquement la même pour toutes les lignes aériennes mais les données PNR sont très différentes.
- Troisièmement, eu égard à la fréquence et au moment du transfert de données définis par la Douane : les données RPCV ne doivent être soumises qu’une seule fois, comparé à 5 pour les données PNR.
- Enfin, compte tenu des solutions de communication utilisées pour l’échange de données : la plupart des compagnies aériennes en Indonésie utilisent le réseau SITA pour les RPCV alors que différents systèmes mondiaux de distribution (SMD) sont utilisés pour les dossiers passagers (PNR).
Prémices
Une série de réunions du forum de la Coopération économique pour l’Asie-Pacifique (APEC), qui se tenait en Indonésie en 2013, allait offrir à la Douane indonésienne l’opportunité de soulever la question des dossiers passagers à un plus haut niveau et dans le cadre d’une collaboration internationale prometteuse. L’Indonésie avait, dès 2012, commencé à examiner les façons de mettre la question des dossiers passagers (PNR) à l’ordre du jour de l’APEC. Après de longues discussions avec le Secrétariat de l’APEC et lors des réunions du Sous-comité sur les régimes douaniers, l’initiative « Support for Standardization of PNR Data among Airlines in the Asia-Pacific Region » (NdT: Soutien à la normalisation des données PNR entre les lignes aériennes de la région Asie-Pacifique) était approuvée et recevait le plein aval des économies membres de l’APEC.
Pour poursuivre sur cette lancée, l’Indonésie a organisé un atelier sous les auspices de l’APEC portant sur les normes d’échange des données passagers et sur le message PNRGOV, sous l’intitulé « Garantir la facilitation des voyages à travers le PNRGOV », à Bali en octobre 2013. Cet atelier a permis à la Douane indonésienne d’obtenir le soutien des lignes aériennes, des fournisseurs de technologies de l’information, des fournisseurs de systèmes mondiaux de distribution (SMD) qui hébergent les dossiers de voyage (et qui sont également connus sous le nom d’entreprises SIR pour systèmes informatisés de réservation), des autorités nationales en charge du transport, de l’immigration et de la répression ainsi que de l’OMD, de l’IATA et de l’OACI.
L’Indonésie est ensuite passée à la phase préparatoire en adoptant une disposition légale gouvernant son système de transfert et de traitement des PNR, tel qu’il est recommandé dans les « Lignes directrices de l’OACI sur les données des dossiers passagers » [doc. 9944]. Cette phase s’est terminée en septembre 2014. Parallèlement à cela, l’Indonésie a défini des exigences en matière de données pour le message PNRGOV à l’adresse des compagnies aériennes et a commencé à travailler sur des points techniques spécifiques, notamment le processus opérationnel, l’analyse des données et la connectivité réseau entre les SMD des lignes aériennes et le centre de données douanier, étape la plus critique du processus.
Défis
La création d’un système d’analyse fondé sur les données PNR est complexe. Face à ce défi et consciente du fait qu’elle ne disposait pas des connaissances suffisantes dans ce domaine, la Douane indonésienne s’est tournée vers le Service de la douane et de la protection des frontières de l’Australie (ACBPS) pour lui demander son assistance et son soutien pendant la phase initiale du projet.
En outre, chaque compagnie aérienne utilisait des normes de données différentes dans son système, ce qui était également problématique. La Douane indonésienne a donc procédé à une présentation détaillée du message standard recommandé par l’OMD, l’IATA et l’OACI pour les dossiers passagers, à savoir le PNRGOV, lors du séminaire de l’APEC sur le PNRGOV mentionné plus haut, afin de faire connaître le message normalisé auprès des compagnies aériennes et des autres partenaires pertinents, dans le but d’obtenir leur soutien pour une utilisation uniforme de cette norme internationalement reconnue pour la transmission des données PNR au gouvernement.
Le manque de ressources financières pour la mise en place du système PNR en Indonésie a également posé problème. La TI étant la pierre angulaire du système, l’acquisition des outils nécessaires s’est avérée extrêmement coûteuse, à tel point que les fonds alloués au projet étaient insuffisants pour couvrir les exigences technologiques.
Une autre étape fondamentale du projet était l’établissement de la connectivité réseau et la mise en place d’un protocole de communications, c’est-à-dire d’un ensemble de règles et de réglementations déterminant la façon dont les données devraient être transmises.
Étapes
Les défis étaient nombreux, mais l’équipe de projet ne s’est pas pour autant avouée vaincue et a choisi de s’adresser à l’ACBPS pour lui demander son concours. Ainsi, en avril 2013, certains membres de l’équipe sont partis en Australie pour une rencontre avec l’unité d’experts de l’ACBPS, organisée par Michael Odgers, directeur des services aux passagers et du dialogue avec l’industrie, et par Nathan Chamberlain, responsable des informations passagers. Sur la base des connaissances acquises au cours de cette visite en Australie, l’équipe en charge du projet PNR a décidé de créer un système en interne sans recourir à un prestataire externe.
A l’heure actuelle, les gouvernements ont le choix entre deux méthodes de transfert des données PNR : la méthode dite « pull » d’extraction des données selon laquelle les autorités ont accès au système de l’exploitant de l’aéronef et « tirent » les données de sa base de données ; la méthode dite « push » de soumission de données, selon laquelle les exploitants d’aéronefs transfèrent ou « poussent » les éléments de données PNR requis vers la base de données de l’autorité requérante.
Compte tenu des enseignements tirés de l’expérience de l’ACBPS dans ce domaine, l’équipe a décidé que la meilleure approche pour développer un système de transmission des dossiers passagers (PNR) adapté aux conditions de travail indonésiennes était d’utiliser la méthode dite « push » de soumission des données, plutôt que la méthode « pull », et d’utiliser, pour le transfert de données, un seul message standard, le PNRGOV. Ainsi, le système n’aurait pas à s’occuper de devoir accepter différentes normes, ce qui permettrait d’en optimiser le développement, la maintenance et le dépannage éventuel.
Le document 9944 de l’OACI stipule que les États exigeant le transfert de données PNR s’efforceront de tenir compte des problèmes rencontrés par les autres Etats et exploitants d’aéronefs sur leur territoire, en particulier pour ce qui a trait aux coûts et à l’incidence potentielle d’une telle mesure sur l’infrastructure existante. Les États qui exigent d’une ligne aérienne qu’elle leur transmette les données sur les passagers doivent donc s’efforcer de garantir la connectivité avec les systèmes utilisés par les compagnies aériennes pour entreposer les données PNR.
Les exigences en matière de configuration TI du système indonésien sont décrites dans un « Document sur les exigences en matière de données PNRGOV », qui porte notamment sur les différents types de protocole de réseau informatique permettant de gérer la sécurité de la transmission des messages à travers Internet. Le système PNR permet l’utilisation de trois protocoles : les réseaux virtuels privés sur protocole internet (RVP IP), le protocole dit Internet Protocol Security (IP Sec) et le protocole pour la sécurisation des échanges sur Internet SSL.
Au cours d’une communication, les dispositifs tant à la source qu’à destination utilisent ce que l’on appelle des « protocoles de couche application ». Pour que la communication soit effective, les protocoles de couche application utilisés par les serveurs d’hébergement à la source et à destination doivent correspondre. Les applications permettent à l’utilisateur de créer des messages, les services de couche application se chargent de l’interfaçage avec un réseau donné tandis que les protocoles établissent les règles et les formats gouvernant le traitement des données.
Concernant les protocoles de couche application, le système PNR indonésien permet d’utiliser de nombreux types de protocoles, y compris le WebSphere MQ d’IBM, le protocole de chiffrage Hypertext Transport Protocol Secure (HTTPS, littéralement « protocole de transfert hypertexte sécurisé ») et le Simple Mail Transfer Protocol (SMTP, littéralement « protocole simple de transfert de courrier »)
Il a fallu par ailleurs élargir la réglementation afin de couvrir les aspects suivants :
- définition des RPCV et des PNR ;
- éléments de données exigés en matière de RPCV et de PNR et traitement des données ;
- criblage et entreposage des données PNR ;
- méthodes de transfert de données RPCV/PNR ;
- fréquence et moment du transfert de données ;
- transparence et recours des voyageurs ;
- conflits entre législations nationales ;
- obligation des lignes aériennes de soumettre les données ;
- protection, sécurité et intégrité des données ;
- protection de la vie privée ;
- conformité et sanctions ;
- force majeure ;
La réglementation gouvernant ces différents aspects suit les « Lignes directrices de l’OACI » et est annexée au « Document relatif aux exigences en matière de données PNRGOV ». Certains aspects délicats y sont traités, tels que la protection de la vie privée, la protection des données, la sécurité et l’intégrité des données.
A cet égard, la Douane indonésienne doit respecter la loi indonésienne sur l’information et les transactions électroniques, qui protège le citoyen de toute utilisation abusive des données à caractère personnel. Les données PNR seront entreposées au centre douanier de données, qui fait partie du centre de données du ministère des finances, qui satisfait aux exigences de la norme ISO 27001 sur le management de la sécurité de l’information.
Le transfert de données PNR sera exigé 48 heures, 24 heures, 2 heures et une heure à l’avance ainsi qu’au moment du départ. Les exploitants aériens qui ne respectent pas les délais obligatoires recevront une notification de la Douane indonésienne dans les 48 heures suivant la dernière soumission de données. Une fois la notification reçue, les opérateurs aériens devront répondre et soumettre les données dans un délai de 48 heures.
Des sanctions seront imposées par la Douane indonésienne si la compagnie aérienne concernée ne répond pas à la notification, suivant une démarche par étapes:
1) Le Directeur général des douanes et accises ou son représentant impose une sanction à l’opérateur sous la forme d’un avertissement écrit, dont une copie est également adressée au Directeur général du transport aérien. Une telle mesure portera atteinte à la réputation et à la crédibilité de la compagnie aérienne auprès du gouvernement.
2) Si, après avoir reçu l’avertissement par écrit, l’opérateur reste non conforme, la Douane procède à une évaluation de la situation et, sur la base des conclusions, l’opérateur peut se voir imposer une sanction sous la forme de :
- un ajournement des opérations de déchargement de 30 minutes à partir du moment où l’aéronef est prêt à être déchargé ;
- un ajournement des opérations de déchargement de 30 minutes supplémentaires si l’opérateur affiche de mauvais antécédents en matière de conformité ;
- un ajournement des opérations de chargement de 30 minutes à partir du moment où l’aéronef est prêt à être chargé ;
- un ajournement des opérations de chargement de 30 minutes supplémentaires si l’opérateur affiche de mauvais antécédents en matière de conformité ;
3) Si l’opérateur n’honore toujours pas ses obligations en matière de soumission des données après s’être vu imposer une sanction sous la forme d’un report des opérations de déchargement et de chargement, tel que stipulé au point 2, la Douane procède à un nouvel examen de la situation. Si elle constate que l’infraction est délibérée, elle sanctionne l’opérateur en suspendant ses propres services de dédouanement à l’importation et à l’exportation.
4) Par ailleurs, l’opérateur concerné peut encourir une amende de cinq millions de roupies indonésiennes (soit environ 500 dollars des États-Unis) pour chaque cas de non conformité.
Toutefois, les sanctions ou toute autre mesure de représailles seront suspendues si l’exploitant de l’aéronef motive son comportement par des arguments valables. La Douane passera en revue l’argumentaire de la compagnie aérienne et tiendra compte de tous les éléments pertinents comme l’importance du cas, les efforts fournis par la compagnie aérienne pour se mettre en conformité, ses antécédents, la formulation d’une demande de conseils auprès de la Douane et les raisons qui échappent au contrôle de la compagnie.
Conclusion
Le projet PNR devrait passer en phase opérationnelle à la fin du mois de septembre 2015. Jusqu’à présent, la connectivité réseau a été établie avec deux grands fournisseurs de systèmes mondiaux de distribution (SMD) et un projet pilote est actuellement en cours avec deux compagnies aériennes. Le système PNR est également connecté au système de contrôle de gestion des frontières du Bureau indonésien de l’immigration.
La Douane indonésienne considère qu’un accès plus aisé aux données PNR et un traitement facilité de ces mêmes données sont indispensables à une évaluation plus efficace des risques liés aux voyageurs et permettra de mieux cibler les passagers à haut risque tout en facilitant la circulation des personnes. En effet, l’analyse des RPCV et des données sur les passagers (PNR) l’a déjà aidée à déceler certains cas de délits et de fraude. La mise en place d’un système de transmission électronique des données PNR ne pourra que renforcer le système de protection des frontières de l’Indonésie.
En savoir +
pnrgov@customs.go.id