Le PNR, « Passenger Name Record », est le dossier créé par les compagnies aériennes au moment de la réservation commerciale des vols. Ce dossier contient toutes les informations fournies au stade de la réservation du voyage, parmi lesquelles, par exemple, les coordonnées du passager, les dates de son voyage, l'itinéraire, le moyen de paiement utilisé, les demandes d'assistance pour raisons médicales ou les données relatives aux bagages. À la suite des attentats du 11 septembre 2001, les services répressifs de plusieurs États tiers, s'appuyant sur de nouvelles législations, ont exigé des compagnies aériennes qu'elles leur fournissent un accès aux données PNR de leurs passagers, afin de mieux lutter contre le terrorisme et la grande criminalité.
À l'heure actuelle, plusieurs pays exploitent déjà des données PNR. Les États-Unis, l'Australie, le Canada, le Royaume-Uni disposent de systèmes véritablement opérationnels, leur permettant de traiter les données de manière automatisée et à grande échelle. Le Japon et la Corée du Sud disposent également de systèmes PNR. Trois pays sont dans des phases de test avant une entrée en service effective : le Mexique (octobre 2014), le Brésil (décembre 2014) et l'Indonésie (janvier 2015). Enfin, des projets existent en Russie, aux Émirats arabes unis et en Arabie Saoudite.
Trois éléments d'actualité conduisent votre rapporteure à présenter cette communication aujourd'hui, afin de faire un point d'étape sur ce sujet qui a déjà été traité à plusieurs reprises au sein de votre commission en 2009 puis en 2011 :
– l'actualité géopolitique au Moyen-Orient, qui nous rappelle à quel point l'Union européenne a besoin de se doter d'outils efficaces pour lutter contre le terrorisme ;
– le renouvellement du Parlement européen, qui pourrait permettre de donner un nouvel élan au projet de PNR européen ;
– des avancées importantes concernant la mise en oeuvre du système d'exploitation des données PNR français.
Le projet de « PNR européen » est actuellement bloqué au Parlement européen.
La Commission européenne a déposé en 2007 une proposition de décision-cadre du Conseil relative à l'utilisation des données des dossiers des passagers à des fins répressives dans l'Union européenne. Les travaux du Conseil sur ce texte n'ont pas pu aboutir avant l'entrée en vigueur du traité de Lisbonne.
Prenant acte des changements procéduraux apportés par ce traité et des réticences suscitées par cette proposition, notamment sur la question de la protection des données (en particulier en ce qui concerne la durée de conservation des données et le traitement des données sensibles), la Commission européenne a revu son projet et a présenté le 2 février 2011 une nouvelle proposition de directive.
La proposition de directive adoptée par le Conseil JAI en avril 2012 prévoit d'ouvrir la possibilité aux États membres d'inclure tout ou partie de leurs vols intra-communautaires dans le champ de compétence de leur unité nationale de renseignements passagers.
Cette proposition de directive n'a pas été adoptée par le Parlement européen.
En effet, la Commission Libertés civiles, justice et affaires intérieures (LIBE) du Parlement européen a rejeté la proposition de directive le 24 avril 2013, considérant que l'équilibre entre le respect des droits individuels et la sécurité était insuffisant, dans une résolution faisant référence à l'avis du contrôleur européen de la protection des données, mais peu étayée par ailleurs. La Commission LIBE semble avoir une opposition de principe à l'exploitation automatisée de données PNR. En séance plénière le 12 juin 2013, le Parlement européen a refusé de valider cette motion de rejet et a renvoyé le texte à la Commission LIBE.
Aucune avancée sur ce texte n'a eu lieu depuis au Parlement européen, la Commission LIBE faisant de l'adoption du paquet législatif relatif à la protection des données un préalable nécessaire à la discussion autour d'un PNR européen.
Au niveau du Conseil, un groupe de travail composé de neuf États membres a été mis en place autour du ministre de l'intérieur français et de la Commission européenne.
Durant l'été 2013, ces neuf ministres (France, Allemagne, Belgique, Italie, Luxembourg, Pays-Bas, Pologne, Royaume-Uni et Suède) ont écrit au président de la Commission LIBE affirmant l'urgence qu'il y avait à adopter au plus vite ce texte important pour la sécurité de l'Union européenne et de ses ressortissants. Ce courrier n'a reçu aucune réponse à ce jour.
Au niveau français, des avancées majeures ont eu lieu depuis un an sur le projet de plateforme API-PNR.
L'article 7 de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme prévoyait que les données PNR puissent être collectées et traitées afin « d'améliorer le contrôle aux frontières, de lutter contre l'immigration clandestine et de lutter contre le terrorisme ». Toutefois, suite à la proposition de la Commission européenne de mettre en place un PNR européen, la mise en oeuvre concrète de ce dispositif a été reportée.
Un nouvel élan a été donné à ce projet lors du vote de la loi de programmation militaire pour 2014-2019 qui prévoit de créer à titre expérimental, jusqu'au 31 décembre 2017, un nouveau système automatisé de traitement des données API et PNR. L'article 17 de la loi de programmation militaire introduit pour cela un nouvel article L. 232-7 dans le code de la sécurité intérieure.
Le dispositif prévu anticipe la directive européenne. Ainsi, les services n'auront pas un accès direct à la nouvelle base de données. Celle-ci sera mise en oeuvre par une « unité de gestion » (UIP, Unité Informations Passagers) à laquelle devront s'adresser les services concernés (c'est-à-dire les services des ministères de l'intérieur, de la défense, mais également des transports et des douanes).
L'unité de gestion devra valider leurs demandes avant de les mettre en production et devra également valider les résultats avant leur transmission.
Elle aura pour obligation de rendre inaccessibles aux services les données sensibles, qui ne seront ni traitées ni conservées.
Le Sénat puis l'Assemblée nationale ont adopté un amendement prévoyant que les données API et PNR ne pourront être conservées que pour une durée maximale de cinq ans, comme ce qui est prévu par la proposition de directive européenne.
Le recueil des données concernera l'ensemble des vols à destination et en provenance du territoire national, à l'exception des vols reliant deux points de la France métropolitaine.
Les transporteurs aériens auront pour obligation de communiquer les données demandées, sous peine de s'exposer à l'amende prévue par l'article L. 232-5 du code de la sécurité intérieure (50 000 euros maximum pour chaque voyage).
Les finalités du traitement de ces données seront relativement larges : il s'agit de la prévention et de la constatation des actes de terrorisme, des infractions mentionnées à l'article 695-23 du code de procédure pénale (participation à une organisation criminelle, traite d'êtres humains, trafic illicite d'armes ou de stupéfiants, cybercriminalité, etc.) ainsi que des atteintes aux intérêts fondamentaux de la Nation.
Votre rapporteure a également évoqué avec les personnes auditionnées la possibilité d'utiliser les données PNR à des fins autres que la lutte contre le terrorisme et la criminalité organisée, notamment dans le domaine de la santé, afin notamment de lutter plus efficacement dans le cadre de situations d'urgence médicale contre le risque de transmission de maladies graves, risque que peut renforcer l'accroissement des liaisons aériennes. Dans ce cas les données pourraient servir à retracer des déplacements et à informer des passagers après leur voyage.
Pour permettre aux États membres de mettre en place une plateforme PNR, la Commission européenne a lancé, sur le fonds ISEC (« Internal Security ») un appel à projet doté d'une enveloppe de 50 millions d'euros.
17,8 millions d'euros de ces 50 millions de fonds disponibles ont été alloués à la France. 14 autres pays bénéficieront de cette enveloppe. Ce financement européen représente une aide considérable, le coût de ce projet étant évalué à 38 millions sur quatre ans - dont 30 millions de budget d'investissement.
Un décret en Conseil d'État pris après l'avis de la CNIL a été publié le 26 septembre dernier. Il précise le cadre général de ce nouveau système API PNR.
Au terme de la procédure de marché public, la mise en oeuvre de ce système d'exploitation a été attribuée à l'entreprise Morpho, filiale du groupe Safran. Pour le moment, quatre compagnies aériennes ont été associées de manière informelle à ce projet.
Le système devrait être opérationnel à la fin de l'année 2015 ou plus probablement au début de l'année 2016, et monter en charge de manière progressive.
Mais quel avenir pour le système d'exploitation PNR français sans directive européenne ?
La mise en oeuvre par la France d'une plateforme de gestion des données API-PNR avant l'adoption de la directive européenne ne pose pas de problème technique. En effet, le mécanisme décrit par la directive prévoit une mise en oeuvre décentralisé, avec une mise en réseau des différents systèmes d'exploitation.
En revanche, l'absence d'un cadre juridique européen stabilisé pourrait être problématique pour la plateforme PNR française si les modifications futures apportées par le Parlement européen à la directive venaient à porter sur des aspects majeurs du système.
Enfin, la négociation d'accords PNR avec les pays-tiers risque également d'être plus complexe sans l'existence d'un système PNR européen unifié.
Surtout, dans un espace de libre circulation des individus, la mise en place d'un système PNR dans seulement quelques pays reviendrait à combattre le terrorisme avec des oeillères : l'efficacité d'un tel outil serait considérablement limitée.
Un point positif est à souligner toutefois : si l'Allemagne refuse a priori d'avancer sur ce dossier sans que la proposition de directive européenne soit adoptée, ce n'est pas le cas du Royaume-Uni, qui dispose déjà d'un système d'exploitation PNR, ni des Pays-Bas. L'existence de plateformes d'exploitation des données PNR dans ces deux pays et en France permettrait de couvrir les vols au départ et à destination de trois des quatre grands hubs européens : Paris, Londres et Amsterdam, à l'exclusion de Francfort.
Pour conclure, il convient de se féliciter de la mise en oeuvre prochaine d'une plateforme de traitement des données PNR en France. Toutefois, de telles avancées ne font que rappeler l'importance d'avancer sur ce sujet au Parlement européen.
Votre rapporteure souhaite que la directive PNR européen soit une des priorités de la Commission LIBE pour les mois à venir, et que les États membres et la Commission européenne continuent parallèlement à mener une collaboration active dans ce domaine.
Dans ce contexte, une démarche de votre commission auprès du Parlement européen serait très opportune et utile.