Utilisation des données des dossiers passagers pour la prévention du terrorisme et des formes graves de criminalité

POINTS CLÉS

Que sont les données PNR?

Il s’agit des informations de réservation stockées par les compagnies aériennes dans leurs systèmes de réservation et de contrôle des départs. Les informations collectées incluent notamment:

• les dates de voyage,
• l’itinéraire,
• les informations relatives aux billets,
• les coordonnées de contact,
• les informations relatives au paiement,
• les informations relatives aux bagages.

Champ d’application

• Chaque État membre est tenu de créer une unité d’information passagers (UIP). L’UIP est chargée:
  • de la collecte, de la conservation et du traitement des données ainsi que du transfert des données ou des résultats du traitement aux autorités nationales compétentes;
  • de l’échange des données PNR et des résultats du traitement avec les autres États membres et l’Agence de l’Union européenne pour la coopération des services répressifs.

Les compagnies aériennes doivent fournir aux UIP des États membres les données PNR relatives aux vols au départ ou à destination de l’UE. Les UIP permettent également — sans obligation — aux États membres de collecter des données PNR concernant certains vols intra-UE.

Traitement

Les données collectées ne peuvent être traitées qu’aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière. Les données ne peuvent être traitées que dans les cas suivants:

• pour effectuer une évaluation des passagers avant leur arrivée, sur la base de critères de risques préétablis et des bases de données pertinentes en matière de répression;
• pour les besoins d’enquêtes ou de poursuites spécifiques;
• pour les besoins de l’élaboration de critères d’évaluation des risques.

Transferts et échanges de données

• Les États membres ne devraient pas pouvoir accéder aux bases de données des compagnies aériennes.
• Les données PNR sont transmises par la compagnie aérienne à l’UIP de l’État membre concerné.
• Le cas échéant et si nécessaire, les États membres doivent fournir les données PNR d’une personne donnée aux autorités compétentes d’un autre État membre.
• Les données PNR peuvent être transmises à un pays non membre de l’UE dans certaines conditions spécifiques.

Conservation

• Les UIP doivent conserver les données fournies par les transporteurs aériens dans une base de données pendant cinq ans à compter de leur transfert vers l’État membre dans lequel le vol décolle ou atterrit.
• Après six mois, les données transférées doivent être «dépersonnalisées» afin de masquer certaines informations, dont:
  • le nom;
  • l’adresse et les coordonnées;
  • toutes les informations relatives aux modes de paiement, y compris l’adresse de facturation.
• La communication des informations PNR complètes à l’issue de cette période de six mois n’est autorisée que:
  • s’il est raisonnable de penser qu’elles sont nécessaires pour répondre aux demandes de données PNR soumises par des autorités compétentes ou l’Agence de l’Union européenne pour la coopération des services répressifs, et ce, au cas par cas; et
  • si elle a été approuvée par une autorité judiciaire ou autre autorité nationale compétente en vertu du droit national pour vérifier si les conditions de communication sont remplies.

Transfert des données PNR dans des pays tiers

• La troisième partie, titre III, de l’accord de commerce et de coopération entre l’Union européenne et le Royaume-Uni (voir la synthèse) traite de la question du transfert, du traitement et de l’utilisation des données PNR en relation avec les vols entre l’UE et le Royaume-Uni. Elle définit également les règles de coopération policière et judiciaire en matière pénale entre le Royaume-Uni et l’UE en ce qui concerne les données PNR.
• L’UE a également signé des accords portant spécifiquement sur le transfert de données PNR avec l’Australie et avec les États-Unis.