Résolution du Parlement européen sur la transmission des données personnelles par les compagnies aériennes lors des vols transatlantiques
Le Parlement européen,
— vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(1) et le règlement du Conseil (CEE) n° 2299/89 du 24 juillet 1989 sur un code de conduite pour les systèmes électroniques de réservation(2),
A. conscient du fait que, depuis le 11 septembre 2001, les États-Unis ont réformé profondément la législation afin d'assurer leur sécurité intérieure, y compris dans le domaine des transports, et qu'ils ont adopté le 19 novembre 2001 l''Aviation and Transportation Security Act" (ATSA)(3), et le 5 mai 2002 l''Enhanced Border Security and Visa Entry Reform Act of 2002" (EBSV)(4), ainsi que d'autres mesures connexes intéressant, pour les seuls vols transatlantiques, quelque 10 à 11 millions de passagers par an,
B. conscient que, dans un premier temps, l'administration des États-Unis s'est limitée à demander aux compagnies aériennes la transmission des données relatives aux passagers et aux membres d'équipage (Passenger Manifest Information)(note finale 1(5)) par le biais de l'"Advance Passenger Information System" (APIS); considérant néanmoins qu'elle a ensuite interprété l'accord intérimaire de telle façon à imposer, sous la menace de sévères sanctions, un accès direct aux systèmes de réservation électroniques et, en particulier, au "Passenger Name Record" (PNR) auquel peut être reliée, au-delà des données d'identification, toute autre sorte d'information (6), y compris d'informations sensibles au sens de l'article 8 de la directive 95/46/CE,
C. partageant les doutes et les soucis manifestés par les autorités nationales(7) quant à la légitimité d'une telle demande, y compris du point de vue de la législation des États-Unis, et plus particulièrement les doutes quant à la compatibilité de cette demande avec la législation communautaire sur la protection des données, dans la mesure où les bases de données des systèmes de réservation pourraient servir de facto de terrain "d'exploitation de données" pour l'administration américaine,
D. ayant des doutes quant au fait que ces données soient protégées (note finale 2(8)) et d'une façon " adéquate "une fois transférées dans des bases de données américaines; regrettant que la Commission n'ait pas entamé en temps utile la procédure d'évaluation de la compatibilité de la législation américaine avec le droit communautaire(9);
E. prenant acte qu'une nouvelle législation proposée par les services de l'immigration des États-Unis(10) permettrait de surmonter les limitations du système de transmission actuel dénommé US EDIFACT par un format plus exhaustif UN EDIFACT (ce dernier permettant l'inclusion de l'adresse aux États-Unis, le numéro, la date et le lieu de visa comme exigé par la section 402 de l'EBSV), ainsi que de mieux définir la portée effective du PNR en le limitant à des informations prédéterminées,
1. exprime ses regrets pour les retards pris par la Commission à mettre sur la table du Parlement et du Conseil une problématique en instance depuis plus de quinze mois, qui affecte la protection des données et qui a une énorme incidence sur d'autres politiques de la Communauté (transports, immigration) et de l'Union (coopération policière et judiciaire ou de lutte contre le terrorisme et le crime organisé);
2. regrette que la Commission, en sa qualité de gardienne des traités et du droit communautaire, n'ait pas assumé ses responsabilités avec toute la diligence voulue:
—
en ne vérifiant pas si l'accès aux données des systèmes de réservation a une base réelle dans la législation des États-Unis ou n'est pas une interprétation extensive de la part de cette administration(11); invite d'ailleurs la Commission à profiter des débats en cours aux États-Unis sur la nouvelle législation sur l'APIS et le PNR de sorte à obtenir des autorités américaines que cette nouvelle législation tienne compte des exigences de protection des données découlant de la législation communautaire,
—
en retardant la vérification prévue par l'art. 25 de la directive 95/46/CE de la législation américaine; un retard crée des difficultés évidentes aux compagnies aériennes coincées entre l'enclume des sanctions américaines (si elles respectent le droit communautaire) et le marteau des Autorités pour la protection des données (si elles accèdent aux demandes des autorités américaines) et met aussi en difficulté les autorités nationales pour la protection des données qui doivent faire respecter les dispositions communautaires,
—
en n'informant pas les citoyens qui devraient être les premiers à savoir le sort des informations qui les concernent;
3. regrette la déclaration conjointe des fonctionnaires de l'Union et des États-Unis du 19 février 2003, qui est dépourvue de toute base juridique, et pourrait être interprétée comme une invitation indirecte aux Autorités nationales à ne pas respecter le droit communautaire; charge son Président d'activer la procédure prévue à l'article 91 de son règlement pour vérifier la possibilité d'un recours devant la Cour de Justice;
4. considère que si des négociations doivent être entamées, elles doivent se fonder sur les compétences communautaires en matière de transports aériens, qui, dans les relations transatlantiques, concernent 10 à 11 millions de passagers par an, et pour lesquelles la Commission s'apprête à négocier un accord "open skies", ainsi que sur les compétences en matière de politique migratoire; s'étonne d'ailleurs que ces questions n'aient pas été abordées au niveau des accords en matière de coopération judiciaire et policière, désormais à un stade déjà très avancé;
5. invite la Commission à obtenir la suspension des effets des mesures prises par les autorités américaines jusqu'à l'adoption de la décision sur la compatibilité de ces mesures avec le droit communautaire;
6. invite la Commission à aborder les problèmes traités dans la présente résolution et se réserve d'en examiner la suite avant le prochain sommet UE/USA;
7. charge son Président de transmettre la présente résolution à la Commission et au Conseil, ainsi qu'aux gouvernements et aux parlements des États membres, à la représentation permanente des États-Unis auprès de l'Union européenne et au Congrès des États-Unis.
Aviation and Transportation Security Act du 19 novembre 2001 (107-71), Interim Rules of Dep. Of The Treasury (Customs) – Passenger and Crew Manifests Required for Passenger Flights in Foreign Air Transportation to the United States (registre fédéral, 31 décembre 2001) et Passenger Name Record Information Required for Passengers on Flights in Foreign Air Transportation to or From the United States (registre fédéral, 25 juin 2002).
Section 44909 modifiée par l'ajout, in fine, des dispositions suivantes: (c) VOLS ÉTRANGERS À DESTINATION DES ÉTATS-UNIS. (1) EN GÉNÉRAL. Au plus tard 60 jours après la date de la promulgation de l''Aviation and Transportation Security Act", chaque compagnie et transporteur effectuant depuis l'étranger des vols à destination des États-Unis communique au commissaire des douanes par voie électronique un manifeste des passagers et des membres d'équipage où figurent les informations visées au paragraphe (2). Les transporteurs peuvent utiliser l''Advanced Passenger Information System" (APIS) établi par la section 431 du "Tariff Act" de 1930 (19 U.S.C. 1431) pour fournir l'information requise à la phrase précédente. (2) INFORMATION. Un manifeste des passagers et des membres d'équipage pour un vol, nécessaire conformément au paragraphe (1), comporte les informations suivantes: (A) Le nom complet de chaque passager et membre d'équipage. "(B) La date de naissance et la citoyenneté de chaque passager et membre d'équipage. "(C) Le sexe de chaque passager et membre d'équipage"(D) Le numéro du passeport et le pays de délivrance pour chaque passager et membre d'équipage si le passeport est nécessaire. "(E) Le numéro de visa ou de la carte de résident étranger aux États-Unis pour chaque passager et membre d'équipage, le cas échéant. (F) Toute autre information que le sous-secrétaire, en consultation avec le commissaire des douanes, juge raisonnablement nécessaire pour garantir la sécurité aérienne.(3) PASSENGER NAME RECORDS.‐Les transporteurs communiquent les informations du "passenger name records" au Service des douanes sur demande. (4) TRANSMISSION DU MANIFESTE ‐ Sous réserve du paragraphe (5), un manifeste des passagers et membres d'équipage exigé pour un vol au sens du paragraphe (1) est transmis au Service des douanes, préalablement à l'atterrissage de l'appareil aux États-Unis, selon la manière, dans les délais et selon les formes prévus par le Service des douanes.(5) TRANSMISSION DES MANIFESTES À D'AUTRES ORGANISMES FÉDÉRAUX‐ Sur demande, l'information communiquée au sous-secrétaire ou au service des douanes au titre de la présente sous-section peut être partagée avec d'autres organismes fédéraux aux fins de protéger la sécurité nationale.".
5 N° PNR, date réservation, agence de voyage, informations reprises sur le ticket, données financières (numéro de carte de crédit, date d'expiration, adresse de facturation, etc.), itinéraire, historique du PNR. Ce dernier peut reprendre les voyages effectués par le passé, mais aussi des données religieuses ou ethniques (choix du repas…), l'affiliation à un groupe particulier, des données relatives à la résidence et aux moyens de contacter un individu (adresse e-mail, coordonnées d'un ami, lieu de travail….), des données médicales (assistance médicale nécessaire, oxygène, problèmes de vision, d'audition ou de mobilité ou tout autre problème dont la connaissance est nécessaire pour le bon déroulement du vol), ainsi que d'autres données liées par exemple aux programmes de fidélisation.
Il s'agit de l'avis d'initiative 6/2002 émis par le groupe prévu par l'art. 29 de la directive 95/46/CE. http://www.europa.eu.int/comm/internal_market/fr/dataprot/wpdocs/wpdocs-2002.htm.
(EBSV page 6) Concernant le système "Chimera" : "... Le plan visé à cette sous-section arrête les conditions d'utilisation de l'information définie à la sous-section (b) reçue par le Département d'État et le Service d'immigration et de naturalisation (A) pour limiter la dissémination ultérieure de cette information; (B) pour garantir que cette information est utilisée seulement pour déterminer s'il y a lieu de délivrer un visa à un étranger ou pour déterminer si un étranger doit être admis aux États-Unis ou en être expulsé, sauf disposition contraire de la loi fédérale; (C) pour garantir l'exactitude, la sécurité et la confidentialité de ces informations; (D) pour protéger tout droit ressortissant à la vie privée des individus visés par ces informations; (E) pour garantir l'intégrité des données par la suppression et la destruction en temps utile des noms et informations obsolètes ou erronés; et (F) d'une façon qui protège les sources et méthodes utilisées pour obtenir des renseignements conformément à la section 103 (C) (6) du "National Security Act" de 1947 (50 U.S.C. 403–3(c)(6)).