COMMUNICATION DE LA COMMISSION AU CONSEIL ET AU PARLEMENT - Transfert des données des dossiers passagers (Passenger Name Record - PNR): Une démarche globale de l'Union européenne

Table des matières

1. Introduction et contexte

2. Principaux éléments d'une approche globale de l'Union européenne

3. Description plus détaillée de l'approche de l'UE

3.1. Résultat des négociations Union européenne/États-Unis sur le transfert des données PNR

3.2. Information des passagers

3.3. Mise au point d'un système de type "push" avec filtres

3.4. La mise au point d'une position de l'Union sur l'utilisation des données PNR

3.5. La création d'un cadre multilatéral pour le transfert des données PNR au sein de l'Organisation de l'aviation civile internationale (OACI)

4. Application du règlement (CEE) n° 2299/89 par la Commission

5. Conclusions

1. INTRODUCTION ET CONTEXTE

Au lendemain des attaques terroristes du 11 septembre 2001, les États-Unis ont adopté en novembre 2001 une législation disposant que les transporteurs aériens assurant des liaisons à destination, au départ ou à travers le territoire des États-Unis sont tenus de fournir aux autorités douanières des États-Unis un accès électronique aux données contenues dans leurs systèmes automatiques de réservation et de contrôle des départs, connues sous le nom de Passenger Name Records (PNR). Tout en reconnaissant la légitimité des intérêts de sécurité en jeu, la Commission a informé les autorités des États-Unis dès juin 2002 que ces dispositions pouvaient entrer en conflit avec la législation communautaire et des États membres en matière de protection des données [1] et avec certaines dispositions du règlement sur l'utilisation de systèmes informatisés de réservation (SIR) [2]. Les autorités des États-Unis ont reporté l'entrée en vigueur des nouvelles dispositions, mais ont refusé en définitive de renoncer à imposer des sanctions aux compagnies aériennes ne se conformant pas aux décisions précitées après le 5 mars 2003. Depuis lors, plusieurs grandes compagnies aériennes de l'Union européenne ont fourni l'accès à leur PNR.

[1] Voir en particulier la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995, p. 31.

[2] Règlement (CE) n° 2299/89 du Conseil, du 24 juillet 1989, instaurant un code de conduite pour l'utilisation de systèmes informatisés de réservation, JO L 220 du 29.7.1989, tel que modifié dernièrement par le Règlement du Conseil (CE) n° 323/1999 du 8 février 1999, JO L 40 du 13.2.1999, p. 1.

Le 18 février 2003, la Commission et le gouvernement des États-Unis ont publié une déclaration commune, rappelant leur intérêt commun à combattre le terrorisme, exposant les premiers engagements qu'ont accepté de prendre les autorités douanières des États-Unis en matière de protection de données et prenant acte de l'engagement des parties de poursuivre des discussions en vue de permettre à la Commission de prendre une décision conformément à l'article 25, paragraphe 6, de la directive 95/46/CE relative à la protection des données, et reconnaissant le caractère adéquat de la protection assurée aux données transmises. Ces discussions ont ainsi visé à rapprocher des normes de l'Union les modalités d'utilisation et de protection des données PNR par les États-Unis.

Entre-temps, d'autres pays tiers, notamment le Canada et l'Australie, ont demandé ou envisagent de demander l'accès aux données PNR. Certains États membres examinent aussi actuellement la possibilité d'utiliser les données PNR aux fins de la sécurité aérienne et des frontières.

Dans deux résolutions datant respectivement du 13 mars 2003 [3] et du 9 octobre 2003 [4], le Parlement européen a invité la Commission à prendre un certain nombre de mesures concernant le transfert des données PNR aux États-Unis pour garantir la prise en compte des préoccupations de l'Europe en matière de protection des données.

[3] P5_TA(2003)0097

[4] P5_TA(2003)0429

La Commission convient avec le Parlement européen qu'il est urgent de trouver une solution aux problèmes découlant des demandes de PNR formulées par les pays tiers et en particulier par les États-Unis. Cette solution doit être juridiquement irréfutable. Elle doit garantir aux citoyens la protection de leurs données personnelles et de leur vie privée, mais également leur sécurité physique. Elle doit défendre fermement la nécessité de lutter contre le terrorisme et la criminalité organisée au niveau international. Elle doit mettre fin à l'incertitude juridique pour les compagnies aériennes - européennes et non européennes - et doit faciliter les voyages effectués pour des motifs légitimes. Toutefois, l'approche de l'Union européenne ne peut se limiter à répondre aux initiatives des autres.

Un certain nombre d'États membres ont également manifesté leur intérêt à disposer d'arrangements efficaces leur permettant de renforcer la sécurité aérienne et aux frontières. En outre, l'approche de l'Union européenne devrait constituer la base d'une initiative visant à mettre en place une solution multilatérale, qui est en pratique la seule manière de régler les problèmes qui se posent au niveau international en matière de transport aérien.

La présente communication expose les éléments d'une approche globale de l'Union européenne que la Commission considère comme nécessaires.

2. PRINCIPAUX ELEMENTS D'UNE APPROCHE GLOBALE DE L'UNION EUROPEENNE

Une approche exhaustive et équilibrée de l'ensemble des questions que posent, en particulier, la législation américaine exigeant le transfert des données PNR, mais qui réponde également aux besoins plus larges exposés ci-dessus se doit d'accorder le poids qui convient à chacune des considérations suivantes:

- la lutte contre le terrorisme et la criminalité internationale,

- le droit au respect de la vie privée et la protection des droits civils fondamentaux,

- le fait que les compagnies aériennes doivent pouvoir se conformer aux diverses dispositions de la législation à un coût acceptable,

- l'ensemble des relations entre l'Union européenne et les États-Unis,

- la sécurité et la commodité des passagers aériens,

- les préoccupations en matière de sécurité aux frontières,

- la portée réellement internationale, de fait mondiale, de ces problèmes.

Toute approche unilatérale ou toute approche qui ne tiendrait pas compte de l'ensemble de ces éléments serait déséquilibrée et vouée à l'échec. Dans le même temps, la recherche d'une solution réellement globale ne doit ni retarder ni empêcher une solution juridique au problème des transferts actuels de données PNR aux États-Unis - sans parler de la pression croissante qui pèse sur les compagnies aériennes de l'UE qui n'accordent pas encore l'accès à leurs données PNR aux États-Unis.

L'approche combinée de la Commission comprend donc les principaux éléments suivants:

a. un cadre juridique pour les transferts de données PNR existants vers les États-Unis. Celui-ci prendra la forme d'une décision de la Commission en vertu de l'article 25, paragraphe 6 de la Directive Protection des Données (95/46/CE) en combinaison avec un accord international bilatéral de nature « légère ».

b. Une information complète, exacte, précise et fournie en temps utile aux passagers. Un effort concerté - auquel participent la Commission, les compagnies aériennes, les agences de voyage, les SIR, les autorités chargées de la protection des données et, éventuellement, les autorités des pays tiers concernés - a été entrepris pour veiller à ce que les passagers soient pleinement et exactement informés avant qu'ils n'achètent leurs billets, des utilisations qui seront faites de leurs données PNR, et donnent leur consentement au transfert de ces données.

c. Remplacement du système "pull" (accès direct des autorités américaines aux bases de données des compagnies aériennes) par un système "push", combiné avec des filtres appropriés. Les discussions techniques menées par la Commission avec l'industrie sont en bonne voie. La Commission fera des recommandations visant la mise en opération d'un système « push » dans le cadre d'une politique communautaire.

d. L'élaboration d'une position de l'UE sur l'utilisation des données des passagers, y compris les PNR, pour la sécurité aérienne et aux frontières.

e. La création d'un cadre multilatéral pour le transfert des données PNR au sein de l'Organisation de l'Aviation Civile Internationale (OACI).

3. DESCRIPTION PLUS DETAILLEE DE L'APPROCHE DE L'UE

3.1. Résultat des négociations Union européenne/États-Unis sur le transfert des données PNR

Dans leur déclaration commune de février 2003, la Commission et la délégation des États-Unis se sont engagées à rechercher une solution pour le transfert des données PNR qui respecte la législation des deux côtés. La déclaration commune prévoyait que cette recherche se concentre sur l'obtention, auprès des État-Unis, d'informations et l'amélioration de leurs engagements, permettant ainsi à la Commission de procéder à un constat du "caractère adéquat de la protection" en application de l'article 25, paragraphe 6, de la directive sur la protection des données.

Au cours de ces négociations, le principal objectif de la Commission a ainsi consisté à obtenir les meilleures normes de protection possibles des données à caractère personnel transférées à partir de l'Union européenne et à les incorporer dans un cadre juridique adapté. Parallèlement, elle s'est efforcée de ne pas perdre de vue les autres objectifs déjà mentionnés (coopérer avec les États-Unis dans la lutte contre le terrorisme et les crimes qui y sont liés, faciliter les voyages effectués pour des motifs légitimes et assurer des conditions d'exploitation justes et viables aux compagnies aériennes de l'Union européenne). Elle a également veillé à ne pas compromettre le développement d'une politique communautaire sur l'utilisation des données des passagers internationaux dans l'intérêt de la sécurité de l'aviation et des frontières de l'Union européenne, et a tenu compte également du fait que les États membres peuvent légiférer pour instituer des dérogations par rapport à certaines obligations en matière de protection des données si cela s'avère nécessaire pour des raisons liées à la sûreté de l'État ou à la répression, comme le prévoit l'article 13 de la directive sur la protection des données.

La Commission avait demandé aux autorités américaines concernées de suspendre la mise en oeuvre de leurs exigences tant qu'un cadre juridique sûr n'a pas été établi pour ces transferts. Devant le refus des Etats-Unis, elle pense que l'option qui aurait consisté, du côté de l'UE, à insister sur le respect du droit communautaire aurait été politiquement justifiée, mais n'aurait pas servi les objectifs susmentionnés. Elle aurait ébranlé l'influence de conseils plus modérés et coopératifs à Washington et remplacé par un rapport de force la coopération constructive que nous menons avec notre partenaire. Cette approche a porté ses fruits. Depuis le début de la phase de coopération dans ces discussions (marqué par la déclaration commune du 18 février 2003), des progrès notables ont été accomplis vers la réalisation de chacun des objectifs ci-dessus.

La Commission a notamment négocié avec le Bureau américain des douanes et de la protection des frontières (CBP) des arrangements nettement améliorés en matière de protection des données PNR transférées aux États-unis. Ces arrangements constituent la base d'un cadre juridique sous la forme d'une Décision de la Commission exerçant ses pouvoirs au titre de l'article 25 paragraphe 6 de la Directive 95/46/CE, en combinaison avec un accord international autorisant les compagnies aériennes à traiter les exigences américaines en tant qu'obligations légales dans l'UE [5] et obligeant les États-Unis à accorder la réciprocité et à garantir un "traitement équitable" aux citoyens de l'UE.

[5] En plus de la question de la "protection adéquate" énoncée à l'article 25 de la directive, des questions juridiques énoncées aux articles 4, 6 et 7 de la directive doivent aussi être traîtées. Une décision qui fait un constat de protection adéquate se limite seulement à cela. L'accord international proposé est donc nécessaire pour traiter les autres questions juridiques.

Depuis le début des négociations en mars 2003, la Commission a été en mesure d'obtenir les engagements suivants de la part des États-Unis:

- Limitations clairement définies de la quantité de données à transférer. Il s'agira de données concernant des vols exclusivement à destination, en provenance ou traversant le territoire des États-Unis. Au lieu de la totalité des données contenues dans le PNR, la demande des États-Unis se limite à une liste fermée de 34 champs. En règle générale, peu d'ensembles de PNR individuels contiennent en pratique plus de 10 à 15 de ces champs et les États-Unis se sont engagés à ne pas exiger des compagnies aériennes qu'elles collectent des données lorsque l'un de ces 34 champs serait vide.

- Toutes les catégories de données sensibles, telles que définies à l'article 8, paragraphe 1, de la directive sur la protection des données [6] seront détruites. La Commission a obtenu les garanties nécessaires des États-Unis concernant l'élimination de toutes les données à caractère personnel révélant, entre autres, l'origine raciale ou ethnique (les préférences alimentaires, par exemple), ainsi que la santé.

[6] Article 8 de la Directive établit une protection supplémentaire pour certaines catégories de données. Celles-ci sont définies à l'article 8 paragraphe 1 comme "données à caractère personnel qui révèlent l'origine raciale ou ethnique, des opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que...des données relatives à la santé et à la vie sexuelle."

- Les utilisations qui peuvent être faites des données ont été définies d'une manière plus précise et sensiblement plus étroite. La demande insistante de la Commission (et du Parlement) que ces utilisations soient limitées à la lutte contre le terrorisme et les crimes qui pourraient être liées au terrorisme - à l'exclusion du crime « intérieur » - a finalement été acceptée.

- Une amélioration sensible a été obtenue sur la durée du stockage des données. Après avoir proposé initialement que les données soient stockées pendant 50 ans, les États-Unis ont accepté de ramener cette période à trois ans et demi. Cela est lié à l'expiration de l'ensemble de l'arrangement après trois ans et demi. La durée de la période de conservation est ainsi liée à la durée de l'arrangement.

- Le Congrès a exigé la nomination d'un responsable de la vie privée au ministère de la sécurité intérieure qui doit rendre compte au Congrès annuellement et dont les conclusions sont contraignantes pour le ministère. Le responsable de la vie privée a accepté de recevoir et de traiter en urgence les démarches des autorités chargées de la protection des données dans l'UE pour le compte des citoyens qui considèrent que le ministère de la sécurité intérieure n'a pas statué de manière satisfaisante sur leurs plaintes. Les citoyens de l'UE obtiennent ainsi davantage de garanties d'être traités de manière équitable.

- Le CBP a accepté de participer avec une équipe de l'UE sous la direction de la Commission à un examen annuel conjoint de l'application par les États-Unis de leurs engagements. Cela donnera de précieuses indications sur la pratique réelle aux États-Unis et permettra de vérifier que ce pays respecte ses engagements. La procédure d'examen pourrait aussi constituer une plateforme pour amorcer à l'avenir une coopération plus étroite avec les États-Unis sur ces questions.

Le ministère de la sécurité intérieure tenait absolument à ce que le système CAPPS II (système informatisé de contrôle avancé des passagers) de l'administration chargée de la sécurité des transports soit couvert par le cadre juridique adopté d'un commun accord. La Commission a résisté avec succès à ces pressions au motif qu'elle ne pourra adopter une position qu'une fois que les procédures internes aux États-Unis seront achevées et qu'il sera clairement établi que les préoccupations du Congrès en matière de vie privée ont été prises en compte. La question du CAPPS II ne sera donc traitée que lors d'une deuxième série de négociations.

Par ailleurs, la Commission a proposé et les États-Unis ont accepté que tout cadre juridique soit limité dans le temps et qu'il ne soit renouvelé que si les deux parties en conviennent. La durée de l'arrangement (caractère adéquat et accord international) est fixée d'un commun accord à trois ans et demi. Cela crée les conditions appropriées pour un examen approfondi, qui sera effectué à la lumière de l'expérience acquise dans sa mise en oeuvre et des évolutions apparues dans l'intervalle, et qui devrait démarrer environ un an avant l'expiration de l'arrangement. D'ici là, l'UE aura élaboré sa propre politique en matière d'utilisation de PNR aux fins de sécurité des transports et des frontières et le débat aux États-Unis sur la vie privée aura peut-être également évolué. Enfin, un cadre multilatéral pourrait également avoir été mis en place dans l'intervalle.

La Commission lancera dès maintenant les procédures nécessaires menant à l'adoption d'une Décision en vertu de l'article 25 paragraphe 6 de la Directive et à la conclusion d'un accord international. A la lumière des procédures prévues, la Commission a l'intention de conclure ce processus en mars 2004, mais ce calendrier ne sera réalisable que moyennant la pleine coopération de toutes les parties concernées.

3.2. Information des passagers

Les services de la Commission ont préparé, avec l'aide des autorités chargées de la protection des données [7], ainsi que du CBP américain, un texte qui est à présent transmis aux compagnies aériennes, notamment par l'IATA, en tant que modèle pour les informations qu'elles et/ou leurs agences de voyage devraient fournir aux passagers avant que ceux-ci n'achètent leurs billets pour se rendre par avion aux États-Unis. La coopération des SIR est également souhaitée pour assurer une couverture maximale des ventes de billets, en particulier par les agences de voyage.

[7] Bien qu'il ait été demandé aux autorités chargées de la protection des données de communiquer leurs observations, dont un grand nombre ont été reprises, le groupe de protection des données établi par l'article 29 de la directive a refusé d'adopter ou d'approuver ce texte, au motif que les transferts de données PNR vers les États-Unis sont en tout cas illégaux et que rien ne devrait être fait pour estomper ce fait.

Une information complète, correcte et fournie en temps utile constitue un impératif important en matière de protection des données en général, et plus particulièrement dans les cas où le consentement est nécessaire. Le consentement ne peut être considéré comme valable que si le particulier possède l'information nécessaire. La jurisprudence et les meilleures pratiques exigent également qu'il ne peut être fait recours au consentement que si le particulier a la liberté de choix.

Dans la situation actuelle, le groupe de protection des données établi par l'article 29 de la directive a estimé dans son avis 6/2002 du 24 octobre 2002 que les conditions pour le consentement n'étaient pas remplies et que l'exception à l'exigence de "protection adéquate" visée à l'article 26, paragraphe 1, point a), de la directive ("que la personne concernée ait indubitablement donné son consentement au transfert envisagé") ne constitue donc pas une solution juridique valable. La Commission convient qu'une solution juridique reposant entièrement sur le consentement serait mauvaise du point de vue de la protection des données, mais pense que des informations et une décision prise en connaissance de cause par les passagers sont néanmoins une partie essentielle de l'ensemble des mesures envisagées.

3.3. Mise au point d'un système du type "push" avec filtres

L'introduction d'un système de filtrage du type "push" est un autre élément essentiel d'une démarche globale. Ce type de système permettrait de contrôler dans l'UE les flux de données partant des systèmes de réservation ou des compagnies aériennes vers les autorités américaines responsables de la sécurité et, une fois un accord trouvé sur les données à transférer, limiterait les transferts au strict nécessaire au regard des objectifs de sécurité. La Commission estime que le développement rapide et l'introduction de la technologie de filtrage "push" sont nécessaires. En outre, le Parlement a invité la Commission dans sa résolution du 9 octobre dernier à "prendre les mesures nécessaires pour faciliter la mise en place de systèmes de filtrage informatique".

Les services de la Commission entretiennent depuis plusieurs mois un dialogue régulier avec les compagnies aériennes sur la mise en place de tels systèmes et consultent des experts techniques appartenant à diverses organisations et entreprises des technologies de l'information. Les compagnies aériennes sont réceptives à l'idée de mettre en place des systèmes de filtrage informatique (du type "push"). Les services de la Commission ont également été informés d'un certain nombre de solutions techniques y compris la proposition autrichienne à laquelle la résolution du Parlement fait référence.

Les services de la Commission ont organisé une deuxième réunion technique avec des experts de ce domaine et différents fournisseurs de technologies le 13 novembre dernier. On a appris que ces systèmes étaient techniquement réalisables, mais plusieurs questions concernant leur mise en oeuvre et leur supervision doivent encore être clarifiées. En outre, il a été clairement expliqué lors de cette réunion que la mise en place d'un système "push" ne saurait résoudre à elle seule le problème. Il serait aussi nécessaire d'installer des filtres. Ces filtres entraîneraient des coûts considérables pour les compagnies aériennes. Une obligation contraignante serait donc souhaitable pour assurer que chaque compagnie aérienne se trouve face aux mêmes exigences. Les compagnies aériennes ont aussi indiqué leur préférence pour un système centralisé.

Il serait difficile d'envisager d'imposer aux compagnies aériennes, notamment aux compagnies des États-Unis, d'adopter un tel système sans prévoir d'obligation légale pour qu'elles le fassent. Or, il n'existe actuellement aucune législation ou politique communautaire qui oblige les compagnies aériennes à transférer de cette façon des données PNR. Un cadre possible pour l'établissement d'un tel système serait une politique communautaire en matière de collecte des données PNR pour des impératifs de sécurité et/ou d'immigration. En s'inspirant du calendrier envisagé pour la définition d'un cadre politique dans ce contexte (voir point 3.4), il devrait être possible de trouver des solutions pour passer aux systèmes de type «push» avec filtre pour le milieu de l'année 2004.

3.4. La mise au point d'une position de l'Union sur l'utilisation des données PNR

Les discussions avec des pays tiers sur le transfert de données PNR devraient être complétées et, dans la mesure du possible, précédées par la mise au point d'une politique de l'Union en matière d'utilisation des données PNR et/ou passagers plus généralement à l'intérieur de l'Union. Une telle politique devra trouver un équilibre entre les différents intérêts en jeu, en particulier entre des préoccupations légitimes en matière de sécurité et la protection des droits fondamentaux, notamment le respect de la vie privée.

Dans ce contexte, l'accord intervenu récemment avec les États-Unis en ce qui concerne le principe de limitation des transferts à des finalités spécifiques est une bonne base de départ pour faire avancer la réflexion sur une approche de l'UE qui couvre à la fois la lutte contre le terrorisme et la lutte contre le crime organisé ayant des ramifications internationales. La liste des éléments informatifs semble également suffisamment étendue pour pouvoir couvrir les besoins de l'UE en matière d'action répressive. Aucune disposition des arrangements conclus avec les États-Unis ne semble donc faire obstacle à la définition d'une politique de l'UE appropriée en la matière.

Ainsi qu'il est dit à la fin du point 3.3, un lien est également possible entre, d'une part, une future politique de l'UE sur l'utilisation des données PNR ou d'autres données sur les passagers pour des impératifs de sécurité et à des fins répressives et, d'autre part, la conception d'un système «push» avec filtres, en particulier si un tel système était centralisé. Une structure centralisée au sein de l'UE pourrait offrir les garanties nécessaires en ce qui concerne la fiabilité (exactitude des données), la sécurité (moyens techniques, filtres) et la surveillance (par exemple, par l'institution d'une autorité de contrôle commune), tout en conférant une valeur ajoutée pour les initiatives similaires menées au niveau national au sein de l'UE.

Enfin, tout échange d'informations éventuel avec les autorités des États-Unis devrait être fondé sur le principe de réciprocité pour ce qui est du transfert de données entre l'UE et les États-Unis, tout en envisageant la possibilité d'une collecte et d'un transfert contrôlé des données PNR par l'entremise d'une instance européenne centrale.

L'élaboration d'une politique de l'UE n'en est encore qu'à ses débuts. Pour lancer cet exercice de mise au point d'une position de l'Union, la Commission a organisé le 9 octobre 2003 une réunion d'experts sur le PNR, regroupant les services de la Commission, d'une part, et les services répressifs ainsi que les autorités chargées de la protection des données dans les États membres, d'autre part. D'autres réunions avec les services répressifs sont prévues dans les semaines et les mois à venir. Les discussions se concentreront sur les arguments militant en faveur d'un point de contact centralisé pour l'échange des données avec les pays tiers et les inconvénients d'un tel système, sur les listes des données qui peuvent être considérées comme utiles et nécessaires, sur les conditions minimales de protection des données exigées, sur l'évaluation générale des risques et sur les systèmes de profilage des criminels.

L'intention est de soumettre une proposition de décision-cadre en matière de protection des données dans le cadre de la coopération en matière répressive pour le milieu de 2004, l'objectif étant notamment de créer une base solide pour le filtrage des données à caractère commercial à des fins répressives, tout en veillant à respecter les exigences prévues par la législation de l'Union en matière de protection des données.

Une telle décision-cadre constituera la base sur laquelle se fondera l'établissement d'une "politique de l'information" à l'intention des services répressifs. Cette politique deviendra l'épine dorsale d'une politique de prévention dans le domaine de la criminalité organisée et du terrorisme, traitant en particulier des garanties des systèmes de traitement de données et de la réciprocité des échanges de données.

3.5. La création d'un cadre multilatéral pour le transfert des données PNR au sein de l'Organisation de l'aviation civile internationale (OACI)

Le transfert des données PNR est un problème véritablement international, et pas seulement bilatéral. En conséquence, la Commission est d'avis qu'il convient de privilégier une solution multilatérale et que l'OACI constituerait le cadre le plus approprié pour présenter une initiative multilatérale.

En septembre 2003, la Commission a décidé d'accélérer les travaux d'élaboration d'un accord international pour les transferts des données PNR au sein de l'OACI. Les services de la Commission ont préparé un document de travail à cet effet qui sera présenté par la Communauté et ses États membres à bref délai au Conseil de l'OACI.

Prenant en compte les impératifs de la sécurité de l'aviation, du contrôle des frontières et de la protection des données à caractère personnel, ainsi que la prolifération des initiatives en matière de transfert des données PNR parmi les États membres de l'OACI, ce document de travail abordera les aspects suivants:

- le champ des données qui peuvent être utilisées à ces fins;

- les pratiques envisageables pour la collecte et le traitement de ces données;

- les implications techniques des systèmes utilisés pour la saisie, le traitement, le stockage et le transfert des ces données.

Naturellement, ce document de travail ne devra pas compromettre la définition d'une politique de l'UE dans ce domaine (voir le point précédent), mais au contraire s'en inspirer. Quoi qu'il en soit, cette initiative exigera un consensus de toutes les parties à l'OACI et prendra donc du temps.

4. APPLICATION DU REGLEMENT (CEE) N° 2299/89 PAR LA COMMISSION

En ce qui concerne le règlement sur les SIR, les services de la Commission examinent la situation depuis plusieurs mois pour établir de manière précise comment le système actuel d'accès aux données fonctionne d'un point de vue technique et pour savoir jusqu'à quel point les SIR sont impliqués de telle manière que le Règlement 2299/89 sur un code de conduite pour les SIR soit d'application. Cet examen, qui a abouti à une deuxième réunion avec l'industrie le 13 novembre 2003, a révélé que les SIR pourraient traiter les données en tant que sous-traitants des compagnies aériennes plutôt qu'en tant que SIR dans ce contexte. Il serait nécessaire de clarifier davantage ce point avant d'arriver à une conclusion sur la question de l'application du Règlement.

Cependant, étant donné que la Commission a reçu une plainte en vertu de l'article 11 du Règlement (début des procédures pour mettre fin à une infraction) la Commission a agi au titre de l'article 12 (qui donne à la Commission les pouvoirs pour obtenir toute information nécessaire auprès des entreprises) en envoyant des lettres aux SIR pour leur demander des informations qui permettront de savoir si les vendeurs de systèmes respectent bien les dispositions du règlement relatives à la protection des données.

5. CONCLUSIONS

* Étant donné la complexité et la nature pluridimensionnelle des questions en jeu, la Commission suit une démarche globale concernant le transfert des données PNR, qui réunit les différentes composantes exposées plus haut.

* Elle donne la priorité à l'établissement rapide d'un cadre juridiquement sûr pour les transferts des données PNR vers le ministère de la sécurité intérieure des États-Unis (Bureau des douanes et de la protection des frontières).

* Sur la base des résultats des discussions avec le gouvernement des États-Unis et du paquet de mesures faisant partie de sa démarche globale, la Commission propose d'établir ce cadre juridique sous la forme d'un constat du niveau adéquat de la protection des données personnelles en application de l'article 25 paragraphe 6 de la Directive protection des données, en combinaison avec un accord international avec les Etats-Unis basé sur l'article 300 paragraphe 3, premier alinéa du Traité. Le Parlement européen sera consulté sur les deux éléments de cette solution, avec une date limite appropriée dans chaque cas.

* La Commission poursuivra également les discussions avec d'autres pays tiers afin de mettre en place, dans les meilleurs délais, des solutions appropriées pour faire disparaître les éventuelles incompatibilités juridiques.

* La Commission poursuivra résolument sa coopération avec les compagnies aériennes et leurs organisations représentatives, ainsi qu'avec les SIR, afin que les passagers reçoivent, avant d'acheter leurs billets d'avion, une information complète et exacte sur les utilisations qui sont faites de leurs données PNR et puissent ainsi être à même de faire un choix éclairé. La Commission incitera fortement les opérateurs à obtenir systématiquement le consentement des passagers au transfert de leurs données, dans les limites de ce qui est praticable, mais elle estime nécessaire d'établir un cadre juridique ne reposant pas uniquement sur le consentement. Elle rappelle son droit d'initiative pour proposer des dispositions régissant le consentement au niveau de l'UE si les opérateurs ne réussissaient pas à mettre en oeuvre des solutions efficaces dans un délai raisonnable.

* La Commission réaffirme qu'elle soutient fermement la mise en place rapide de la technologie "push" dotée des filtres appropriés pour la transmission de données PNR à des pays tiers. Elle estime qu'une démarche centralisée ou groupée possède de nets avantages par rapport à une démarche procédant par des contacts séparés avec chaque compagnie aérienne, tant du point de vue de l'efficacité que des coûts. Elle continuera d'étudier en priorité les options qui s'offrent avec l'industrie. Si cela est nécessaire, elle est disposée à prendre les initiatives appropriées pour assurer le financement, sur les ressources existantes du budget communautaire, d'une aide à la mise au point d'un tel système. La Commission s'est fixé pour objectif de trouver des solutions avant le milieu de l'année 2004 au plus tard. Une option serait de mettre en oeuvre un système "push" dans le cadre d'une approche de l'UE concernant l'utilisation des données des voyageurs pour des fins de la sécurité des frontières et de l'aviation (voir ci-dessous).

* La Commission poursuivra en priorité les discussions qu'elle a entamées avec les États membres et d'autres parties intéressées, par exemple Europol, en vue de formuler, vers le milieu de 2004, une première proposition définissant une démarche de l'Union concernant l'utilisation des données des passagers pour des impératifs de sécurité des frontières et de l'aviation et d'autres fins répressives. Un tel cadre politique devra établir un équilibre entre les préoccupations sécuritaires d'une part et les préoccupations intéressant la protection des données et les autres libertés civiles d'autre part.

* La Commission lance également une initiative internationale concernant les transferts de données PNR sous les auspices de l'OACI. Une proposition dans ce sens est sur le point d'être transmise au Conseil.