L’utilisation des données personnelles dans la lutte
contre le terrorisme
par
Shathil NAWAF Sh., Doctorant, Université Paris 1
Panthéon-Sorbonne.
Le Conseil de Sécurité est aujourd’hui
l’organisation internationale par laquelle l’ordre international met en place
une politique de lutte contre le terrorisme, à travers notamment le vote de
résolutions appelant les États membres à adopter un arsenal juridique
conséquent. C’est dans le cadre de cette lutte que le Conseil de Sécurité a
voté le 21 décembre 2017 la résolution 2396 dans laquelle les États
membres étaient appelés à collecter les données des passagers aériens pour
empêcher le retour des combattants terroristes étrangers. Le Conseil de
Sécurité a en effet explicitement « exhort[é] les États membres à envisager, le
cas échéant, de déclasser à des fins administratives les données de
renseignement, y compris les données relatives aux voyages […] afin de
communiquer […] et de les transmettre comme il convient aux autres États et
organisations internationales compétentes concernés […] ».
De manière générale, et au vu des
développements de la technologie, la prévention contre le terrorisme est à
l’origine d’une percée considérable dans les traitements automatisés de données
à caractère personnel[1]. Le
Conseil de Sécurité vise en l’occurrence autant les données biométriques que
les informations préalables passagers (API) et les données des dossiers
passagers (Passenger Name Record – PNR). Ces dernières connaissent depuis deux
décennies une évolution non négligeable car la menace terroriste est facilitée
par les déplacements, tant par leur dimension internationale que par la
mobilité qu’elles supposent, notamment destinée à assurer la clandestinité de
ceux qui y sont impliqués. Les données des dossiers passagers sont des fichiers
créés par les compagnies aériennes pour chaque voyage réservé par un passager. Ces
fichiers sont stockés sur les bases de données de réservation et de contrôle
des départs des compagnies aériennes et permettent à tous les intervenants du
secteur aérien de reconnaître chaque passager et d’avoir accès à toutes les
informations pertinentes concernant son voyage[2].
Le contrôle des dossiers permet de suivre les
déplacements des usagers du transport aérien afin de lutter contre ceux qui
sont susceptibles de commettre un acte terroriste. En effet, le recours à des
fichiers est une pratique courante, surtout depuis l’entrée de l’informatique
dans le système aéroportuaire, avec des possibilités quasiment illimitées
d’exploitations et de croisements. Il s’agit de lutter contre la clandestinité des
terroristes, favorisée par la mobilité et la dimension internationale de leurs
déplacements. Les attentats du 11 septembre 2001, et ceux qui ont été commis
plus tard, ont incité les États à renforcer leur contrôle sur les données des
passagers aériens. La France, les États-Unis, la Grande-Bretagne et d’autres
États se sont dotés d’un système PNR national. Les données des passagers
aériens se sont révélées être un outil de renseignement efficace puisqu’il
permet de briser les réseaux de grande criminalité[3].
Toutefois, des critiques se sont élevées pour
pointer du doigt les dangers que pouvait constituer l’utilisation de ces données
dès lors que le législateur ne délimitait pas la durée de la conservation de
ces données, l’instance indépendante chargée de les traiter, ou bien le risque
de l’utilisation de données sensibles comme les opinions religieuses ou
politiques qu’elles pouvaient contenir. Ces questions ont été autant soulevées
sur le plan national, par les parlementaires français par exemple, que sur le
plan européen et international, par les députés européens.
Un avis de la Cour de justice de l’Union européenne
rendu le 27 juillet 2017 avait également relancé les débats sur la
compatibilité du système PNR avec la protection des données personnelles et des
libertés fondamentales en général. Les juges du Luxembourg étaient appelés à se
prononcer sur e projet d’accord entre le Canada et l’Union européenne
concernant le transfert des données des passagers aériens. En constatant
l’incompatibilité de l’accord avec les droits fondamentaux garantis par les
traités européens, les juges de la Cour de justice entendaient assurer un très
haut niveau de protection des données personnelles des passagers aériens.
L’avis sous-entend que les droits fondamentaux des citoyens européens ne
doivent pas être sacrifiés sur « l’autel des impératifs sécuritaires »[4].
La sûreté aérienne, comme la lutte contre le
terrorisme en général, est un problème qui se pose aujourd’hui de manière
globale et les fichiers PNR semblent n’être qu’une pierre d’un édifice général
qui reste à achever. La présente réflexion permettra de comprendre de quelle
manière les données de dossiers passagers ont été propulsées par les autorités
étatiques comme un outil de prévention contre les actes terroristes. À ce
titre, l’intronisation des données des dossiers passagers, à travers leur
systématisation, dans l’arsenal antiterroriste contemporain (I) s’accompagne
d’un débat non sans controverses sur la nécessité de ne pas sacrifier la
protection des libertés publiques sur l’autel de la lutte antiterroriste (II).
Initialement
utilisées de manière aléatoire par les autorités étatiques, les données PNR ont
été systématisées (A) jusqu’à devenir un outil indispensable pour la
surveillance des déplacements (B) dans le cadre la prévention des actes
terroristes (B).
La date du 11 septembre 2001 est symbolique à
plusieurs égards dans l’histoire contemporaine. Dans le domaine de la sécurité
publique s’est produit un changement de paradigme : les déplacements des
usagers du transport aérien pouvaient faciliter la commission de crimes qui
pouvaient impacter la sécurité de la Nation. À l’heure où les actes terroristes
se multiplient dans le monde, comme le révèle l’actualité récente, la sûreté du
transport aérien est plus que jamais une préoccupation essentielle pour les états.
Dans ce contexte, les données des dossiers passagers sont devenues un outil de
renseignement, de prévention et de lutte contre le terrorisme.
Avant les attentats du 11 septembre 2001, les
données des passagers aériens avaient surtout un aspect commercial. Ces données
sont fournies par les voyageurs au stade de la réservation commerciale. Elles
sont utilisées par les transporteurs aériens dans leurs systèmes de
billetterie, de réservation et d’enregistrement[5].
Toutefois, elles pouvaient être requises par les autorités judiciaires pour les
besoins d’une enquête ou d’une instruction. À cette époque, aucune législation
n’avait prévu un dispositif spécifique dans lequel les transporteurs et les
agences de voyages étaient contraints de transmettre ces données aux autorités
compétentes à des fins de prévention et de répression d’infractions[6].
Les données PNR ne sont pas les seules
collectées par les transporteurs aériens. Il y a d’une part les « renseignements
préalables concernant les voyageurs » (RPCV) qui comprennent les éléments d’identification des
passagers ou des membres de l’équipage grâce au passeport ou document de voyage
fournis[7]. Ces
données comprennent également des informations générales concernant le vol.
Lesdites données sont avant tout destinées aux transporteurs. À ce titre, elles
ne présentent qu’un intérêt limité pour les autorités de l’État[8]. D’autre
part, les autorités aériennes sont amenées à collecter les données dites « Advanced Passenger Information » (API). Ces données contiennent des
informations biographiques telles que le nom, le prénom, la date de naissance,
sexe, nationalité, ainsi que des informations relatives au document de voyage
utilisé et recueillies par les compagnies lors d’enregistrement des passagers.
Moins centrées sur le passager, elles dressent davantage les caractéristiques
du vol[9].
Les données PNR sont distinctes des
précédentes, elles sont fournies par les voyageurs dès la réservation
commerciale et non au moment de l’enregistrement. Autrement dit, elles sont
transmises dès la formation du contrat de transport[10]. Ces
données contiennent les dates du déplacement, l’itinéraire, les informations
figurant sur le billet, les coordonnées du passager, le nom de l’agent de
voyages sollicité, le moyen de paiement utilisé, le numéro du siège et la
nature des bagages. Au plan international, ces données suivent un modèle
standard d’enregistrement. Leur nombre va varier en fonction des pratiques des
transporteurs et des exigences des états. Ces derniers vont disposer d’un moyen
de suivi dématérialisé et en temps réel des passagers.
Après les attentats du 11 septembre 2001, les
États-Unis ont institué, en application de l’Aviation and Transportation Act[11],
une obligation pour les compagnies assurant des liaisons de passagers au
départ, à destination ou via les États-Unis de donner au ministère de la
sécurité intérieure (Department of Homeland Security ou DHS) l’accès
aux données PNR qui figurent dans leurs systèmes de réservation et de contrôle
des départs. Les compagnies aériennes étrangères devaient se conformer à cet
acte unilatéral à la date du 5 mars 2003 sans quoi, elles ne seraient plus
autorisées à desservir le territoire américain. Le ministère chargé de la
sécurité intérieure américaine rappelle que le PNR permet d’identifier environ
1750 cas suspects chaque année et a été d’un intérêt déterminant dans de
nombreuses investigations liées au terrorisme depuis le 11 septembre 2001[12]. Cette
initiative américaine a encouragé d’autres états à se doter de fichiers PNR
nationaux.
Comme outil de prévention contre le terrorisme,
les données PNR ont fait l’objet de législations sur plusieurs plans. Au niveau
européen, l’Union européenne a dès 2007commencé à réfléchir sur l’idée d’un PNR
européen. Le 27 avril 2016, le Parlement européen et le Conseil ont adopté une
directive relative à la prévention et la détection des infractions terroristes
et formes graves de criminalité via le transfert des données passagers par les
transporteurs aériens et leur traitement[13].
La directive européenne 2016/681 doit
permettre la mise en place d’une coopération entre États membres permettant
l’échange et l’exploitation des données PNR tout en respectant les libertés publiques.
Cette dernière ne crée pas un PNR européen stricto sensu, tel qu’un seul
fichier de données centralisé, mais les conditions d’un début de coordination
entre les vingt-huit PNR déjà existants ou à créer. L’objectif pour le
législateur européen est de réglementer les dispositions des États membres
relatives aux obligations des transporteurs aériens en matière de transmission
des données et de définir des modalités communes de traitements[14].
La directive édicte des règles communes d’accès
aux données. Tout d’abord, en ce qui concerne le transfert de données, la
directive prévoit le transfert de données des passagers de vols internationaux
ainsi que le traitement de données, comme la collecte, ainsi que l’échange de
ces données entre ceux-ci (article 1). La directive est applicable aux
vols intra-UE lorsque les États membres en font la demande (article 2). Il
est à noter que les pays de l’Union pourront également choisir de collecter et
traiter les données PNR des opérateurs économiques autres que les transporteurs
aériens tels que les agences et organisateurs de voyages. Dans le contexte de
menace terroriste, cela devrait logiquement inciter les États membres à faire
usage de ces dispositions.
La directive appelle également les États
membres à créer des Unités Information Passagers (UIP). En France, celle-ci a
été créée dès 2014. L’article 4 permet alors de rendre possible un échange
des différents UIP des États membres. À la tête de chaque unité est nommé un
délégué à la protection des données. Par ailleurs, les États membres ont la
faculté d’échanger entre eux et avec Europol les données PNR qu’ils reçoivent
aux fins de la prévention et de la détention des infractions terroristes
(article 10).
En ce qui concerne le traitement des données,
deux méthodes existent dans le traitement des données PNR. D’une part, il y a
la méthode pull dans laquelle les autorités compétentes de l’État membre qui
requièrent les données PNR peuvent accéder au système de réservation du
transporteur aérien et en extraire une copie des données PNR requises. D’autre
part, il y a la méthode push où les transporteurs aériens transmettent ces
données à l’autorité requérante ce qui permet aux premiers de garder le
contrôle sur les données transmises. Cette méthode est réputée offrir un niveau
plus élevé de protection des données et devrait être obligatoirement adoptée
pour tous les transporteurs aériens. Elle est celle que le législateur européen
a choisie (article 6). Il appartient à l’IUP de l’État membre qui reçoit
ces informations de traiter ces données. D’ailleurs, les pouvoirs de cet
organisme sont strictement encadrés. Il ne peut les traiter que pour des
finalités à dominante répressive.
Les données PNR sont utilisées de deux
manières. Le mode réactif sous-entend qu’après la commission de l’infraction,
les PNR vont aider les services répressifs à prévenir et à détecter d’autres infractions
graves (dont le terrorisme), à enquêter sur celle-ci et à poursuivre leurs
auteurs. Lorsque cela est fait en temps réel, les données PNR permettent
d’identifier des personnes auparavant « inconnues » des services concernés (non-soupçonnées de participation à une
infraction grave ou à un acte de terrorisme mais dont l’analyse des données
indique qu’elles peuvent être impliquées dans une infraction de cette nature et
qu’elles devraient donc être soumises à un examen approfondi par les autorités
compétentes). La seconde manière permet d’identifier les personnes dont les
données de déplacement sont suspectes comme les ressortissants européens
soupçonnés de vouloir rejoindre les mouvements djihadistes au Proche-Orient, en
Afrique ou en Asie Centrale[15].
Enfin, il est requis de la part des États
membres d’arrêter une liste des autorités habilitées à travailler avec les UIP.
Cette disposition permet de disposer d’une traçabilité des acteurs du
traitement des données PNR.
Sur le plan national, la France a mis en place
un régime de collecte des données des dossierns
passagers dès 2014. Établi à titre expérimental jusqu’au 31 décembre 2017, le
système a été créé pour les besoins de la « prévention et de la constatation des actes
terrorisme, des infractions mentionnées à l’article 695-23 du Code de
procédure pénale et des atteintes aux intérêts fondamentaux de la Nation, du
rassemblement des preuves de ces infractions et de ces atteintes ainsi que de
la recherche de leurs auteurs ». Codifiées dans le Code de la Sécurité intérieure, les
dispositions définissent le contenu et les conditions d’exploitation du nouveau
fichier national de données passager (système API-PNR France). Le système a été
prolongé après la date de la fin d’expérimentation et pérennisé[16].
Le décret n° 2014-1095 du 26 septembre
2014 a créé un traitement de données à caractère personnel dénommé « système
API-PNR France » pris pour l’application de l’article 232-7 du Code de la
Sécurité intérieure. Le décret n° 2014-1566 du 22 décembre 2014 portant
création d’un service à compétence nationale dénommé « Unité
Information Passagers » (UIP). L’UIP est un service à compétence nationale rattaché au
ministre chargé des douanes, dont la mission est de gérer le système API-PNR
France et de répondre aux requêtes des services de sécurité ayant accès à la
plateforme. Il s’agit surtout de récupérer et de rapprocher ces données avec le
fichier des personnes recherchées, notamment pour implication de terrorisme.
L’objectif de ce système est de recueillir toutes
les données API-PNR des 230 compagnies françaises et étrangères desservant le
territoire national, à l’exclusion des vols intérieurs, soit l’équivalent de
deux cents millions de dossiers par an. Les données PNR sont davantage
utilisées en tant qu’outil de renseignements en matière criminelle que comme un
instrument de contrôle aux frontières. Ces données permettent de favoriser la
coopération entre les services de répression et de lutte contre les formes les
plus graves de criminalité.
L’efficacité du PNR dans la lutte contre le
crime organisé s’explique par le fait que les données fournies par les
transporteurs aériens aux autorités en charge de la répression soient
disponibles en amont des déplacements. Ainsi, ce dispositif permet une
intervention efficace contre les auteurs de ces infractions. À titre
d’illustration, l’analyse de l’utilisation du PNR par la cellule de ciblage de
Roissy démontre que 80 % des saisies de cocaïne ont été réalisées grâce à
l’utilisation du PNR. Le taux de réussite des délits constaté grâce à un
ciblage par les données PNR est sept fois supérieur à celui obtenu par les
autres méthodes d’analyse. En effet, les douanes françaises s’appuyant sur
l’article 65 du code des douanes peuvent demander aux compagnies aériennes
de leur transmettre des données PNR.
L’initiative américaine d’exiger le transfert
des données de dossiers passager a donné lieu à la multiplication des accords
PNR (A) qui ne cessent depuis d’alimenter le débat sur la protection des
libertés fondamentales en matière de protection des données personnelles et de
la vie privée (B).
Les attentats du 11 septembre 2001 ont conduit
les autorités américaines à accorder une attention importante aux données PNR
compte tenu de l’enjeu pour la sécurité aérienne, de la menace terroriste lors
du franchissement des frontières et de la richesse des informations
susceptibles d’être contenues dans les dossiers passagers. Par un effet de
contagion, d’autres états se sont mis à organiser de manière systématique la
collecte des données de passagers. La principale préoccupation des opérateurs a
pour objet l’harmonisation des règles de divers systèmes PNR afin de diminuer
le coût des transmissions.
Le système américain est le plus ancien et le
plus abouti. Dans le cadre de la lutte contre le terrorisme et la criminalité
organisée, les États-Unis ont adopté le 19 novembre 2001 une législation sur la
sécurité de l’aviation et du transport (the Aviation and Transportation
Security Act). Le 5 mai 2002, une loi renforçant les
conditions d’entrée sur le territoire américain (Enhanced Border Security and Visa Entry Reform Act) est également votée. Ces mesures prévoyaient qu’à
compter du 5 mars 2003, les compagnies aériennes devraient communiquer aux
services de douanes et de sécurité américains des informations personnelles
relatives à leurs passagers, sous peine de contrôles renforcés, d’amendes ou
même de suspension du droit d’atterrir.
Cette nouvelle législation américaine posait
problème car elle heurtait les règles européennes en matière de protection des
données personnelles. La conclusion d’un accord entre l’Union européenne et les
États-Unis était en fait nécessaire afin que les compagnies aériennes ne soient
pas placées en porte-à-faux entre les législations américaines et européennes.
Un accord a été conclu le 19 octobre 2006 et entré en vigueur le 1er août 2007.
Un second texte a été conclu fin juillet 2017, renégocié à partir de la fin de
l’année 2010. Validé par le Parlement européen et le Conseil de l’Union européenne
en avril 2012, un nouvel accord est entré en vigueur le 1er juillet 2012 pour
une durée de sept ans.
L’accord est conclu dans le cadre du troisième
pilier qui regroupe les questions de police et de justice. Le ministère de
l’intérieur américain peut transférer les données PNR à d’autres autorités
gouvernementales. Ce même ministère a accès, dans des circonstances
exceptionnelles, aux données sensibles, c’est-à-dire celles pouvant révéler
l’origine raciale ou ethnique, les convictions religieuses, les opinions
politiques ou les données de santé. Par ailleurs, les finalités du système sont
très larges et évolutives. Enfin, les données sont conservées sept ans puis
huit ans supplémentaires en cas de besoin soit un total de quinze années sans
que des garanties aient été apportées sur leur destruction passé ce délai.
Les accords avec l’Australie et le Canada sont
en revanche plus équilibrés. L’accord avec le Canada vise exclusivement des
finalités de lutte contre le terrorisme. Alors que les accords avec les
États-Unis prévoient la transmission de trente-quatre rubriques de données PNR,
les accords avec le Canada ne visent que 25 vingt-cinq rubriques. Elles
indiquent un champ de données plus limité. De plus, les citoyens européens
bénéficient du droit d’accès et de rectification de leurs données dans les
mêmes conditions que les résidents canadiens. Il est enfin prévu une durée de
conservation de trois ans et demi. L’accord entre l’Australie et l’Union européenne
ne prévoit pas beaucoup de différentes même si les finalités sont aussi larges
que celles prévues dans l’accord avec les États-Unis[17].
Le contrôle européen pour la protection des
données, l’agence européenne des droits fondamentaux et le groupe de l’article 29
sur la protection des données ont tous émis des avis très réservés sur la
proposition de décision-cadre. Les critiques insistent en particulier sur
l’insuffisance d’éléments d’information et de retours d’expérience démontrant
l’utilité et la nécessité de la collecte de données PNR à des fins répressives.
Cette absence de preuve de l’intérêt du dispositif serait d’autant plus
rédhibitoire que la collecte indifférenciée des données PNR de tous les
passagers à destination d’un État membre de l’Union européenne est susceptible
de porter une atteinte grave au respect des droits individuels.
Le contrôleur européen pour la protection des
données critique en particulier le profilage qui consiste à bâtir des
hypothèses de risque à partir de données personnelles ne caractérisant pas une
infraction. En effet, l’élaboration de modèles de déplacements et de
comportements conduit à fonder des décisions à l’encontre d’individus qui
auront ensuite le plus grand mal à se défendre de ces décisions. Le profilage
doit être appréhendé comme un processus impliquant plusieurs techniques,
d’abord la captation des informations et ensuite l’analyse de ces informations.
Le profilage se présente comme un mécanisme
intrusif car il implique la collecte et l’utilisation à court, moyen ou long
terme de toutes les informations touchant à l’individu. Le nombre de données captables
est ce qui caractérise l’intrusion. En effet, cette technique aboutit à nier
l’essence même de l’homme en le réduisant à une catégorie sur la base de
calculs statistiques sans avoir égard à sa possibilité de changer. Ainsi, la
moindre donnée personnelle est susceptible de renseigner sur les agissements
futurs de l’individu qu’elle touche. Avant de valider cette tendance, le
préalable est de valider le degré de prédictibilité de la donnée étudiée et ce
n’est que si la valeur prédictive est élevée que la prise en compte des
prévisions peut être considérée comme pertinente. Ces critiques relèvent en fin
de compte un état de fait qui soulève des défis pour la société civile :
la mise à l’épreuve des libertés publiques devant les enjeux sécuritaires qui
se posent.
L’utilité des données personnelles est
indéniablement un sujet de controverse malgré un développement concret dans
plusieurs états comme il a été démontré ci-dessus. Pourtant, le G29, appelé
depuis EDPB depuis le 25 mai 2018, comme le contrôleur européen de la
protection des données remarquent l’absence d’éléments chiffrés démontrant
l’utilité et la nécessité de ces données pour les services de sécurité. À
l’opposé, les services en charge de la lutte contre le terrorisme et la
criminalité organisée affirment que ces données sont une mine de renseignement
extrêmement utile et que leur exploitation n’est en aucune façon redondante
avec d’autres dispositifs en vigueur comme les données API ou les visas
biométriques[18].
Compte tenu des retours d’expérience, les experts considèrent que les données
PNR ne sont pas redondantes avec d’autres dispositifs et sont une aide
précieuse pour les services de sécurité[19].
Les experts en sécurité attirent l’attention
sur le fait que les autres systèmes d’identification sont particulièrement
utiles pour identifier une personne avec certitude et déclencher des mesures,
comme une arrestation, lorsque cette personne attire déjà l’attention des
services de sécurité. Toutefois, la particularité des données PNR réside
ailleurs : elles sont aussi utiles pour détecter des personnes non connues
a priori des services de sécurité
mais dont certains comportements peuvent être révélateurs d’un risque
criminogène. Le profilage s’effectue à partir de l’analyse des autres données
PNR, le nom permettant dans un second temps de relier cette analyse à un
individu. Par ailleurs, étant donné que le nom est une des données les moins
fiables du système PNR, la consultation des données API et des documents de
voyage est le moyen le plus pertinent pour s’assurer de l’identité exacte d’une
personne.
L’utilisation des données PNR semble être
précieuse puisque l’analyse de celles-ci permet de bâtir des hypothèses de
risque relativement fiables et de cibler en retour des contrôles ou la mise en
place d’une surveillance selon les experts en contre-terrorisme. En matière
douanière, Gérard Schoen[20] a
révélé que le ciblage des contrôles à partir des données PNR était désormais un
outil primordial et décisif pour l’efficacité de ses services. Entre 60 %
et 80 % des stupéfiants saisis par la douane dans les aéroports le sont à
la suite d’un ciblage. D’après les tests effectués, le taux de résultat des
contrôles ciblés est huit fois supérieur à celui des contrôles aléatoires.
Les données sont efficaces même si leur
plus-value est plus difficile à évaluer. M. Bernard Squarcini,
directeur central du renseignement intérieur à l’époque, explique que le
terrorisme international ne reposait plus sur un support étatique mais
s’appuyait sur des individus relativement isolés agissant en réseau.
L’évolution du terrorisme contemporain implique une détection précoce afin de
prévenir et évaluer la dangerosité de la menace. Ainsi, elle permet de cerner
l’environnement et « neutraliser judiciairement l’individu
avant le passage à l’acte ». Les PNR pourraient être précieuses dès dès lors qu’elles fournissent une multitude de petites
informations qui, agrégées à d’autres, sont autant de signaux d’alarme. M. Bernard
Squarcini a souligné qu’en matière de renseignement,
une donnée est rarement décisive en elle-même[21]. En
fait, elle ne vient que compléter une panoplie de données. C’est la raison pour
laquelle il est très difficile d’évaluer la plus-value propre desdites données
dans la lutte contre le terrorisme. Cela est un argument pour ceux qui émettent
des critiques contre le projet du PNR européen. Il est à ajouter qu’une
personne qui passe une frontière s’expose toujours à des contrôles exorbitants
par rapport à ceux auxquels elle est exposée sur le territoire d’un État de
droit. Le développement des systèmes PNR peut dès lors apparaître comme n’étant
pas d’une nature si différente des contrôles applicables à ce jour aux
voyageurs internationaux (comme le contrôle d’identité). Cela n’est que la
traduction du principe de souveraineté des États.
Par ailleurs, il semblerait que l’utilité des
données n’est pas suffisante en elle-même pour justifier ce système. Le
principe de la proportionnalité sous-entend de mettre en balance les gains pour
la sécurité et les sacrifices consentis au détriment du respect des droits
fondamentaux. Les systèmes PNR peuvent être comparés à des « fils
dérivants » capturant de nombreuses données relatives à des citoyens
ordinaires. Elles permettent d’une part de détecter des activités terroristes
ou criminelles et d’autre part de réveiller ces données pendant plusieurs
années en cas de besoin. Ce système est distinct de celui des fichiers de
police traditionnels qui ont pour objet d’accumuler des données sur des
personnes déjà connues de services. Ainsi, le reproche principal lancé à la
collecte des données de passagers aériens est le suivant : les collectes
indifférenciées font de chaque utilisateur un potentiel suspect.
[1] Y. Mayaud,
« Répertoire de droit pénal et de procédure
pénale », Terrorisme – Prévention, janvier
2018.
[2] Ibidem.
[3] Sénat, Commission des lois, Rapport n° 401 : La proposition de
décision-cadre relative à l’utilisation de données des dossiers passagers à des
fins répressives, présenté par M. Simon Sutour et M. Yves
Détraigne, 13 mai 2009.
[4] V. Correai,
« À propos de l’avis 1/15 relatif au projet
d’accord entre le Canada et l’Union européenne sur le transfert des données des
passagers aériens », LexisNexis,
Communication – Commerce électronique n° 6, Juin 2018.
[5] P. Dupont,
« Les données des dossiers passagers (PNR) dans
le transport aérien », Revue française de droit aérien et spatial,
vol. 278, n° 2, 2016.
[6] Sénat, Commission des lois, Rapport n° 401 : La proposition de
décision-cadre relative à l’utilisation de données des dossiers passagers à des
fins répressives, présenté par M. Simon Sutour et M. Yves
Détraigne, 13 mai 2009.
[7] P. Dupont,
« Les données des dossiers passagers (PNR) dans
le transport aérien »,
Revue française de droit aérien et
spatial, vol. 278, n° 2, 2016.
[8] Ibidem.
[9] Ibidem.
[10] Ibidem.
[11]
https://www.congress.gov/bill/107th-congress/senate-bill/1447/text.
[12] P.
Dupont, « Les données des dossiers passagers (PNR) dans
le transport aérien », Revue française de droit aérien et spatial,
vol. 278, n° 2, 2016.
[13] Direct. UE n° 2016/681 du Parlement
européen et du Conseil, 27 avr. 2016, JOUE, n° L110, 4 mai.
[14] Ibidem.
[15] P. Dupont,
« Les données des dossiers passagers (PNR) dans
le transport aérien », Revue française de droit aérien et spatial,
vol. 278, n° 2, 2016.
[16] Article R. 232-12 du Code de la Sécurité
intérieure.
[17] P. Dupont,
« Les
données des dossiers passagers (PNR) dans le transport aérien », Revue française de droit aérien et spatial, vol. 278, n° 2,
2016
[18] Sénat, Commission des lois, Rapport n° 401 : La proposition de
décision-cadre relative à l’utilisation de données des dossiers passagers à des
fins répressives, présenté par M. Simon Sutour et M. Yves
Détraigne, 13 mai 2009.
[19] Ibidem.
[20] P. Dupont,
« Les données des dossiers passagers (PNR) dans
le transport aérien », Revue française de droit aérien et spatial,
vol. 278, n° 2, 2016.
[21] Sénat, Commission des lois, Rapport n° 401 :
La proposition de décision-cadre relative à l’utilisation de données des
dossiers passagers à des fins répressives, présenté par M. Simon Sutour
et M. Yves Détraigne, 13 mai 2009.