API-PNR France, le traitement automatisé de données à caractère personnel des passagers... (pour information)

Le 28 septembre 2014, par Geneviève Koubi,

Le décret n° 2014-1095 du 26 septembre 2014 porte "création d’un traitement de données à caractère personnel dénommé « système API-PNR France » pris pour l’application de l’article L. 232-7 du code de la sécurité intérieure". Cet article, issu de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale, confirme le mixage entre le civil et le militaire. Le traitement automatisé de données à caractère personnel “API-PNR France” est d’ailleurs mis en œuvre par les ministres de l’intérieur, de la défense, chargé des transports et chargé des douanes... Et c’est un service à compétence nationale dénommé “Unité Information Passagers” qui est responsable de la collecte des données. Ces données concernent donc essentiellement les passagers et plusieurs services de divers types et fonctions « peuvent être destinataires des données à caractère personnel et informations enregistrées dans le traitement, dans le cadre de leurs attributions légales et dans la limite du besoin d’en connaître... » (art. R. 232-15du Code de la sécurité intérieure).

Voyager incognito n’est plus concevable...

Ainsi que cela est signalé au Journal officiel de ce 28 septembre 2014 dans lequel ce décret est publié, les publics concernés sont : « les transporteurs aériens, les passagers des vols à destination et en provenance du territoire national, les agents de la police nationale, les militaires de la gendarmerie nationale, les agents de la direction générale de la sécurité extérieure, les agents de la direction du renseignement militaire, les agents du service à compétence nationale dénommé « traitement du renseignement et action contre les circuits financiers clandestins », les agents de la direction générale de la sécurité intérieure et les agents des douanes ». Sous couvert des nécessités du ’renseignement’, les fichages se multiplient.

Certes, depuis nombre d’années, les déplacements aériens sont intensément surveillés par le biais de divers traitements automatisés de données à caractère personnel. Cependant, la liste des données enregistrées s’allonge de plus en plus comme leur durée de conservation et la possibilité de leur consultation...

.

L’article R. 232-14 du Code de la sécurité intérieure énumère « les données à caractère personnel et informations relatives aux passagers aériens transmises par les transporteurs aériens, (...) et enregistrées dans le traitement prévu » :

« a) En ce qui concerne les données de réservation : 1° Code repère du dossier passager ; 2° Date de réservation/d’émission du billet ; 3° Date(s) prévue(s) du voyage ; 4° Nom(s), prénom(s), date de naissance ; 5° Adresse et coordonnées (numéro de téléphone, adresse électronique) ; 6° Moyens de paiement, y compris l’adresse de facturation ; 7° Itinéraire complet pour le dossier passager concerné ; 8° Informations “grands voyageurs” tels que les programmes de fidélité ; 9° Agence de voyages/agent de voyages ; 10° Statut du voyageur tel que confirmations, enregistrement, non-présentation, passager de dernière minute ; 11° Indications concernant la scission/division du dossier passager ; 12° Toute autre information, à l’exclusion des données à caractère personnel visées au second alinéa du I de l’article L. 232-7 du code de la sécurité intérieure ; 13° Etablissement des billets (numéro du billet, date d’émission, allers simples, décomposition tarifaire) ; 14° Numéro du siège ; 15° Informations sur le partage de code ; 16° Toutes les informations relatives aux bagages ; 17° Nombre et autres noms de voyageurs figurant dans le dossier passager ; 18° Tout renseignement préalable sur les passagers (API) qui a été collecté ; 19° Historique complet des modifications des données PNR énumérées aux points 1 à 18 ; »

« b) En ce qui concerne les données d’enregistrement et d’embarquement : 1° Code repère du dossier passager ; 2° Numéro et type du document de voyage utilisé ; 3° Nationalité, nom, prénom, date de naissance, sexe ; 4° Point de passage frontalier utilisé pour entrer sur le territoire français ou en sortir ; 5° Code de transport (numéro du vol et code du transporteur aérien) ; 6° Date du vol ; 7° Heures de départ et d’arrivée du transport ; 8° Point d’embarquement initial et de débarquement final des passagers ; 9° Point de départ et d’arrivée du vol ; 10° Date d’expiration du document de voyage ; 11° Statut de la personne embarquée (membre d’équipage, passager : toute information sur les correspondances) ; 12° Nombre, poids et identification des bagages ; 13° Numéro de siège ; 14° Nombre total des personnes transportées dans l’aéronef ; 15° Etat ou organisation émetteur du document de voyage ; 16° Numéro d’identification du passager ; »

« c) Les résultats issus des mises en relation des données mentionnées aux a et b du présent article avec le fichier des personnes recherchées, le système d’information Schengen de deuxième génération (SIS II), le fichier des objets et des véhicules signalés, le système informatisé concourant au dispositif de lutte contre les fraudes et le fichier des documents de voyage volés et perdus d’Interpol ; »

« d) La catégorie et le numéro des fiches contenues dans les traitements susvisés qui, après vérification, ont permis la prévention ou la constatation d’une des infractions visée au I de l’article L. 232-7 du code de sécurité intérieure ; »

« e) Les réponses aux requêtes formulées par les unités et services mentionnés à l’article R. 232-15. »

.

A propos de ces unités et services mentionnés en cet article R. 232-15 du Code de la sécurité intérieure, destinataires des données à caractère personnel et des informations enregistrées dans le traitement, le ’besoin d’en connaître’ n’a pas fondamentalement de limites. Il s’entend en effet : « I. - Au titre de la prévention et de la constatation des actes de terrorisme, du rassemblement des preuves de ces actes et de la recherche de leurs auteurs » comme « II. - Au titre de la prévention des actes de terrorisme » ou « III. - Au titre de la prévention et de la constatation des infractions mentionnées à l’article 695-23 du code de procédure pénale, du rassemblement des preuves de ces infractions et de la recherche de leurs auteurs », encore « IV. - Au titre de la prévention et de la constatation des atteintes aux intérêts fondamentaux de la Nation, du rassemblement des preuves de ces atteintes et de la recherche de leurs auteurs », aussi « V. - Au titre de la prévention des actes terroristes et des atteintes aux intérêts fondamentaux de la Nation » ; et de plus « VI. - En cas de menace grave et d’urgence avérée et pour les seuls besoins de la prévention des actes de terrorisme et des atteintes aux intérêts fondamentaux de la Nation », au sein de la direction générale de la sécurité extérieure et de la direction générale de la sécurité intérieure des agents peuvent « être destinataires, pendant une durée maximale de sept jours, de l’ensemble des données collectées au sein du traitement dénommé “API-PNR France” ».

Toujours au titre de cet article qui évoque les limites du ’besoin d’en connaître’, sont évoqués d’autres perspectives comme par exemple : « VII. - Aux fins de définir ou d’actualiser les critères et les éléments de recherche relatifs aux passagers des vols concernés, pour les besoins de la prévention des seuls crimes et délits suivants et mentionnés à l’article 695-23 du code de procédure pénale : - participation à une organisation criminelle ; - terrorisme ; - traite des êtres humains ; - exploitation sexuelle des enfants et pornographie infantile ; - trafic illicite de stupéfiants et de substances psychotropes ; - trafic illicite d’armes, de munitions et d’explosifs ; - fraude y compris la fraude portant atteinte aux intérêts financiers des Communautés européennes au sens de la convention du 26 juillet 1995 relative à la protection des intérêts financiers des Communautés européennes ; - blanchiment du produit du crime ou du délit ; - faux monnayage, y compris la contrefaçon de l’euro ; - crimes et délits contre l’environnement, y compris le trafic illicite d’espèces animales menacées et le trafic illicite d’espèces et d’essences végétales menacées ; - aide à l’entrée et au séjour irrégulier ; - trafic illicite d’organes et de tissus humains ; - trafic illicite de biens culturels, y compris antiquités et œuvres d’art ; - contrefaçon et piratage de produits ; - falsification de documents administratifs et trafic de faux ; - falsification de moyens de paiement ; - trafic illicite de substances hormonales et autres facteurs de croissance ; - trafic illicite de matières nucléaires et radioactives. » Il en est de même, « VIII. - Aux fins de définir ou d’actualiser les critères et les éléments de recherche relatifs aux passagers des vols concernés pour les besoins de la prévention des seuls crimes et délits suivants : - trafic illicite de stupéfiants et de substances psychotropes ; - trafic illicite d’armes, de munitions et d’explosifs ; - fraude y compris fraude portant atteinte aux intérêts financiers des Communautés européennes au sens de la convention du 26 juillet 1995 relative à la protection des intérêts financiers des Communautés européennes ; - blanchiment du produit du crime ou du délit ; - crimes et délits contre l’environnement, y compris le trafic illicite d’espèces animales menacées et le trafic illicite d’espèces et d’essences végétales menacées ; - trafic illicite d’organes et de tissus humains ; - trafic illicite de biens culturels, y compris antiquités et œuvres d’art : - contrefaçon et piratage de produits ; - falsification de moyens de paiement ; - trafic illicite de substances hormonales et autres facteurs de croissance ; - trafic illicite de matières nucléaires et radioactives ; et - délits douaniers connexes aux délits mentionnés par l’article 695-23 du code de procédure pénale. »

....

De son côté, la Commission nationale de l’informatique et des libertés relevait dans son avis n° 2014-308 du 17 juillet 2014 que « le "système API-PNR France" concernera toutes les compagnies aériennes et l’ensemble des passagers des vols à destination et en provenance du territoire national, à l’exception des vols reliant deux points de la France métropolitaine. Ainsi, près de 100 millions de personnes par an sont concernées par le traitement projeté. »

Elle soulignait que « la mise en œuvre de ce système suppose la collecte d’un volume très important de données, en l’espèce, des données de réservation (... PNR) et des données d’enregistrement et d’embarquement (... API) de tous les passagers aériens. Il s’agit de données initialement collectées par des entreprises de transport aérien dont la plupart sont privées, à des seules fins commerciales, et leur caractère exact, complet et mis à jour présente de ce fait une fiabilité incertaine ».

Elle notait que « de plus, le traitement projeté permettra d’effectuer un rapprochement entre les données collectées et d’autres fichiers de police judiciaire et administrative relatifs à des personnes ou des objets recherchés ou surveillés. Il permettra également d’expérimenter de nouvelles modalités d’exploitation de ces données. Ainsi, il sera possible de savoir si une personne ou un objet, compte tenu de ses caractéristiques de déplacement, présente un risque particulier au regard des finalités énumérées par l’article L. 232-7 du code de la sécurité intérieure et doit dès lors faire l’objet de mesures particulières. L’exploitation des données API et PNR permettra en effet le ciblage des individus au travers de différents critères préétablis ainsi que leur classement sur une échelle de risques, grâce à l’utilisation d’un outil de scoring. De telles possibilités seront enfin offertes à un très grand nombre de services, dotés de prérogatives de police judiciaire ou de police administrative, à l’instar de tous les services de renseignement spécialisés. »

Elle signifiait alors que « eu égard à l’ampleur de ce traitement, tant au niveau du nombre de personnes concernées, du volume de données collectées, du grand nombre de personnes susceptibles d’y avoir accès, que des nouvelles conditions d’exploitation de ces données, (...) le traitement projeté est susceptible de porter une atteinte particulièrement grave au droit au respect de la vie privée et à la protection des données personnelles. » Et elle nuançait en ces termes : « Une telle atteinte ne saurait être admise que si elle apparaît strictement nécessaire au but poursuivi et qu’elle présente des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données personnelles. (...) des mesures juridiques et techniques adaptées doivent être prévues afin d’assurer un haut niveau de protection des données ».

.

Si la CNIL prend acte de ces techniques et garanties, elle insiste aussi sur l’information des personnes concernées par les transporteurs aériens. L’information des passagers doit être effective quant à la collecte et le traitement de leurs données. Elle « doit être réalisée, dans une langue compréhensible par les personnes intéressées » ; elle doit aussi « être claire, complète et pédagogique dans la mesure où elle conditionne l’exercice des droits des personnes concernées par le traitement mis en œuvre ».

Mais il se trouve que la détermination des ’personnes concernées’ reste aléatoire et incertaine...

....

RSS 2.0 | Espace privé
Visiteurs par jour (cumul) : 1226 (447584)