La directive de l’Union européenne (UE) 2016/681 relative à l’utilisation des données des dossiers passagers, dites données PNR (trois lettres qui renvoient aux termes anglais « Passenger Name Record »), a été adoptée le 27 avril 2016. Elle enjoint les États-membres de l’UE à collecter et exploiter les données PNR ainsi que les Renseignements Préalables Concernant les Voyageurs (RPCV ou API selon l’acronyme anglais) « pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière ». Les États-membres disposent de 2 ans pour la transposer dans leur droit national en vue d’être appliquée.

La directive prévoit la création dans chaque État-membre d’une Unité Information Passagers (UIP) chargée de la collecte, de la conservation et du traitement des données. Selon le texte, les « hits » remontés, c’est-à-dire les résultats positifs des traitements, doivent être transmis par l’UIP aux services opérationnels appelés « autorités compétentes ». La directive régit aussi les échanges entre UIP, avec Europol et avec les États tiers au cas par cas.

Enfin, elle prévoit l’élaboration et l’adoption d’un acte d’exécution afin de garantir le respect des lignes directrices de l’Organisation de l’aviation civile internationale (OACI) concernant les formats de données et les protocoles applicables au transfert des données provenant des transporteurs aériens.

Sans attendre l’adoption de la directive, la France s’est dotée d’un dispositif juridique national autorisant la collecte, le stockage et le traitement des données des passagers aériens et des membres d’équipage (données PNR et RPCV). Ce dispositif est régi par la loi du 18 décembre 2013 qui a créé l’article L232-7 du Code de la Sécurité Intérieure. Deux décrets d’application ont été adoptés pour la mise en œuvre du système API-PNR France : celui du 26 septembre 2014 qui autorise le traitement des données et celui du 22 décembre 2014 qui crée l’Unité Information Passagers française. L’article L232-7 a ensuite été modifié en étendant la collecte des données, par la loi du 28 juillet 2015, aux opérateurs de voyage ou de séjour affrétant tout ou partie d’un aéronef et, par la loi du 20 juin 2016, aux transporteurs maritimes.

La France transposera la directive en 2017 afin que ses dispositions nationales sur le PNR soient totalement conformes à cette législation européenne : à titre d’exemple, un délégué à la protection des données (DPO – « data protection officer ») devra être nommé à l’UIP et la période de conservation des données avant masquage des éléments relatifs à l’identité des personnes passera de 2 ans à 6 mois.

Le décret du 26 septembre 2014 autorise la collecte des données concernant les passagers aériens et les membres d’équipage de tous les vols de/vers la France hors vols domestiques à partir du 1er janvier 2015. La collecte a été réalisée de manière progressive : elle a débuté avec les quatre compagnies (Air France, Delta Airlines, Etihad Airways, ASL Airlines France) qui ont participé à la mise au point du programme API-PNR France pour ensuite s’étendre, à partir de janvier 2016, à d’autres compagnies aériennes. En outre, dans un premier temps, seuls les vols extra européens sont concernés (environ 55 millions de passagers par an sur un total de 110 millions).

Un peu plus de 40 compagnies sont raccordées en ce début 2017, représentant environ 70 % des passagers « extra UE ». À terme, les 250 compagnies aériennes opérant des vols internationaux (tiers et communautaires) à destination ou au départ de la France, DOM-TOM compris, transmettront leurs données sur les passagers qu’elles transportent.

Le « système API-PNR » propose un certain nombre de fonctionnalités de recherche, de ciblage et de criblage afin :

• de rechercher des informations dans la base des données des passagers ;
• d’identifier des personnes représentant un risque à partir de profils ;
• d’effectuer un rapprochement des données des passagers collectées avec celles issues des fichiers nationaux, européens ou internationaux de personnes connues ou recherchées, de documents volés ou perdus ;
• de « mettre en attention » une ou plusieurs personnes ou objets pendant une période donnée.

En ce qui concerne la douane, l’analyse de l’information permet d’identifier de manière « industrielle » et très rapide les routes sensibles ou illogiques, les allers-retours trop rapprochés vu le poids des bagages accompagnant les passagers, les formes de paiement inhabituelles, les agences de voyage suspectes… ou une combinaison de ces différents critères.

Le projet français est entré en mode expérimental en juin 2016 : la liste des services d’ores et déjà considérés comme « autorités compétentes » a été fixée et un plan de déploiement progressif du nouvel outil informatique au sein de ces services a été défini par phases. L’extension à l’ensemble des services des douanes des principaux aéroports internationaux français est notamment en cours. La montée en puissance du dispositif est également progressive en fonction des compagnies aériennes raccordées au système.

Basée à proximité de l’aéroport de Roissy Charles de Gaulle et constituée d’un personnel issu de quatre administrations partenaires (intérieur, défense, transports, douane), l’UIP française est aujourd’hui opérationnelle de 7h à 19h30, du lundi au vendredi. L’extension aux week-ends et jours fériés est prévue pour mai 2017. Fin 2017, l’armement de l’UIP française atteindra plus de 70 personnes pour assurer un fonctionnement 24 heures sur 24, 7 jours sur 7.

Un plan de formation pour les personnels de l’UIP et des « autorités compétentes » a été mis en œuvre et plus de 100 personnes ont d’ores et déjà été formées. L’accent a été mis sur la formation de formateurs afin de démultiplier les capacités de formation de chaque service. L’UIP assure également un rôle de support aux utilisateurs pendant toute la phase d’expérimentation actuelle.

Les finalités du traitement des données sont la prévention et la constatation des actes de terrorisme, des infractions mentionnées à l’article 695-23 du code de procédure pénale (participation à une organisation criminelle, traite d’êtres humains, trafic illicite d’armes ou de stupéfiants, etc.) ainsi que les atteintes aux intérêts fondamentaux de la Nation.

Grâce à la mise en œuvre du nouveau système de collecte et d’analyse des données, la douane a mis en lumière des affaires liées à des atteintes aux intérêts financiers de l’UE, des délits de blanchiment d’argent et a procédé à des saisies de cigarettes et de tabac. Pour la police, des criblages positifs ont donné lieu à des déferrements aux autorités judiciaires, et à l’interpellation de personnes faisant l’objet d’une « mise en attention ». Les services de renseignement, quant à eux, ont rapporté des cas d’identification d’individus dont les déplacements étaient surveillés.

Au-delà des résultats énoncés ci-dessus, l’intérêt du système a été avéré en termes de détection de « signaux faibles » (termes utilisés en matière de prévention du terrorisme et qui désignent des signes discrets/ténus émanant d’une personne à risque) pour les services de renseignement, d’aide à l’enquête et à l’administration de la preuve, de simplification des procédures des services enquêteurs (possibilité d’annexion du (des) dossier(s) passagers à un procès-verbal, économie de réquisitions judiciaires aux compagnies aériennes nécessaires auparavant pour accéder à leurs données).

Étant donné qu’il implique l’accès à des millions d’informations personnelles, tout système PNR doit être utilisé dans le respect du principe de proportionnalité selon lequel la collecte et le traitement des données à caractère personnel devrait être proportionné aux objectifs de sécurité spécifiques poursuivis par la loi au regard des exigences en matière de libertés individuelles et de garanties relatives à la protection des données à caractère personnel.

L’administration française a présenté à la Commission Nationale Informatique et Liberté (autorité française chargée de la protection des données) des garanties que cette dernière a accueillies favorablement. Elle s’est notamment engagée à :

• sécuriser la collecte des données,
• limiter la collecte des données PNR aux seules 19 catégories autorisées,
• limiter le stockage à 5 ans et masquer les données relatives à l’identité des personnes après 2 ans (durée ramenée à 6 mois après transposition de la directive),
• mettre en place un filtrage automatique des données sensibles pour qu’elles soient détruites et donc non exploitées,
• donner accès des données aux autorités compétentes qu’une fois après les avoir validées et instaurer un système de traçage de ces communications,
• respecter la liste des services autorisés établie par le décret de décembre 2014 et des fonctionnalités associées,
• respecter le principe du droit à l’information des passagers,
• subir des audits/visites réalisés par l’Autorité nationale en charge de la protection des données personnelles et élaborer un rapport de bilan de l’expérimentation à la fin 2017.

En outre, comme le stipule la directive européenne et dès sa transposition dans le droit national, un délégué chargé de la protection des données (DPO) sera nommé par l’UIP française.  Le DPO aura accès à toutes les données traitées par l’UIP et, s’il estime qu‘elles ne sont pas exploitées de manière licite, pourra le signaler à l’Autorité nationale en charge de la protection des données. Les passagers pourront également s’adresser au DPO en sa qualité de point de contact unique au sein de l’UIP pour toute question relative à la protection des données. Enfin, le DPO sera informé, le cas échéant, de tout transfert de données PNR à un pays tiers.

Dès le début du projet, le choix a été fait d’utiliser la complémentarité des données RPCV et PNR (c’est-à-dire de marier des données API qui, bien que restreintes, sont de qualité, avec des données PNR, qui sont déclaratives et donc non vérifiées, mais potentiellement plus riches en informations) et de respecter les standards internationaux et les bonnes pratiques.

Pour les données issues des systèmes d’enregistrement (RPCV), un message informatique standard, appelé message PAXLST, a été mis au point pour la transmission des informations relatives à l’identité des passagers, en général issues de la lecture automatisée de la bande MRZ des documents de voyage. Utilisé de longue date par l’industrie, le message est assez court et peut être transmis aisément par les réseaux de communication traditionnels des compagnies aériennes.

Quant au système de collecte et de traitement des données de réservation (PNR), un message normalisé au niveau international (dénommé PNRGOV) permet la transmission des données des dossiers passagers vers les gouvernements. La France a participé dès 2013 aux travaux de normalisation du PNRGOV menés sous l’égide de l’OMD, l’OACI et l’Association du transport aérien international (IATA). Si la structure du message PNRGOV est désormais bien stabilisée, le standard laisse une certaine marge de manœuvre aux acteurs du monde aérien : industrie et gouvernements sont encore dans une phase d’apprentissage. Ainsi, le système API-PNR français a dû être assoupli pour accepter certains messages transmis.

Il est important de rappeler que les données PNR sont des données commerciales collectées par l’industrie, pour l’industrie, et que, dès lors, seules les données collectées pour les besoins commerciaux sont transmises aux autorités comme stipulé dans le document 9944 de l’OACI. Cela explique que les volumes, la nature et la qualité des données figurant dans les dossiers passagers varient grandement d’une compagnie aérienne à une autre et d’un passager à l’autre.

Assurer la qualité de ces données est pourtant, et évidemment, critique : le système informatique de traitement des données doit comprendre l’ensemble des données reçues a) pour filtrer les données sensibles, b) pour que les résultats de l’analyse de risque soient les plus fiables possibles et permettent ainsi de minimiser les contrôles inopportuns.

La France a présenté cette problématique au printemps 2016 lors du groupe de travail PNRGOV qui réunit industrie et gouvernements. Le non-respect des référentiels utilisés par l’industrie et la faible qualité des données provenant de partenaires tiers (revendeurs, autres compagnies aériennes partageant les vols) ont été identifiés par les gouvernements représentés comme des thématiques prioritaires. Un groupe de travail animé par le Royaume-Uni a dès lors été constitué avec pour mission de trouver des solutions à moyen terme.

La France conseille aux États qui souhaitent lancer leur propre programme RPCV/PNR de se joindre aux discussions qui ont lieu, deux fois par an, au printemps et en automne, lors des réunions du groupe de travail PNRGOV, ainsi qu’à celles qui se déroulent en automne à l’OMD, durant les travaux du Comité de Contact RPCV-PNR.

Deux initiatives émanant de ce dernier et soutenues par l’OMD sont à mentionner : l’élaboration des directives sur l’utilisation des données RPCV-PNR ainsi que, plus récemment, le projet de directives sur la manière de concevoir des systèmes RPCV-PNR.

En savoir +
Christophe.hypolite@douane.finances.gouv.fr