Directive PNR : la CJUE recadre le traitement des données de passagers aériens

Directive PNR : la CJUE recadre le traitement des données de passagers aériens

Par Gérard Haas, Anne-Charlotte Andrieux et Sara Bakli 

Venant concurrencer de près le Règlement général sur la protection des données, la directive « PNR » 2016/681 du 27 avril 2016 (« Directive PNR ») vient réglementer l’utilisation des données des dossiers passagers (ou « données PNR »).

Les données PNR (« Passenger Name record ») sont constituées des données à caractère personnel communiquées par les passagers aériens, au cours des procédures de réservation et d’enregistrement.

Ces données sont recueillies par les transporteurs aériens, puis transmises aux autorités répressives des Etats membres aux fins de prévention et de détection d’infractions, terroristes notamment.

Concrètement, les données traitées peuvent être les suivantes : nom du passager, dates du voyage, itinéraire, numéro du siège, données relatives aux bagages, coordonnées, moyens de paiement utilisé, régime alimentaire à bord de l’avion

Un intermédiaire auprès de chaque Etat membre de l’Union européenne, dit « Unité d’information des passagers » (UIP), est chargé par la directive PNR[1] de la collecte et du transfert des données aux autorités répressives de chaque Etat concerné par une arrivée ou un départ aérien[2].

Quelles sont les contours des obligations imposées en matière de traitement des données de passagers aériens ?

L’encadrement de la collecte des données de passagers aériens

La directive PNR vise à réglementer le transfert, par les compagnies aériennes des données passagers aux autorités nationales.

Avec la collecte des données de passagers, les autorités nationales peuvent confronter les données de passagers à diverses bases de données de personnes recherchées[3].

Le traitement  des données de passagers aériens

Les données PNR collectées permettront d’identifier, entre autres : l’itinéraire du déplacement, les vols concernés, le contact à terre du passager, le numéro de carte bancaire, les services demandés à bord tels que des préférences alimentaires spécifiques ou encore des services liés à l’état de santé du passager.

La réglementation européenne encadre ainsi :

1/ Le transfert de ces données aux autorités répressives des Etats membres ;

2/ Le traitement aux fins de la prévention et de la détection d’infractions terroristes ou de criminalité grave.

Un outil de lutte contre le terrorisme et la criminalité grave

La directive PNR prévoit le traitement systématique de données de passagers aériens des vols hors-UE à l’entrée et à la sortie de l’Union, et aux vols intra-UE si un Etat membre le prévoit[4].

Ces données ne peuvent être traitées qu’à des fins de prévention et de détection des infractions terroristes et des formes graves de criminalité, d’enquêtes et de poursuites[5].

Ces finalités constituent une exception à l’application matérielle du RGPD. L’article 2.d) dudit règlement écarte son application aux traitements de données effectués par les autorités compétentes « à des fins de prévention et de détection des infractions pénales (…) y compris la protection contre des menaces pour la sécurité publique ».

La CJUE[6] a distingué les cas d’application du RGPD et de la directive PNR au regard du traitement des données de passagers :

  • En ce qui concerne le recueil et le transfert des données passagers par les transporteurs aériens aux UIP, le RGPD est applicable ;

  • En ce qui concerne le seul « traitement de données » par l’UIP ou par les autorités nationales, aux fins de lutte contre le terrorisme, seule la directive PNR est applicable.

D’autres outils de lutte contre le terrorisme et la criminalité grave existent, découlant de la directive API concernant l’obligation pour les transporteurs de communiquer les données relatives aux passagers ou la directive concernant les formalités déclaratives applicables aux navires à l’entrée et/ou à la sortie des ports des Etats membres, dont l’application n’est pas exclusive de celle du RGPD.

Les obligations imposées en matière de traitement des données de passagers aériens

Comme la plupart des techniques d’enquête ou de collecte de données sensibles, la directive PNR a été confrontée aux exigences de respect des droits fondamentaux devant la Cour de justice de l’Union européenne (CJUE).

Les enjeux de protection des droits fondamentaux des passagers

Celle-ci, dans un arrêt récent du 21 juin 2022, s’est prononcée en faveur d’une limitation des pouvoirs prévus par la directive PNR au strict nécessaire : le transfert des données ne pourra se faire qu’en présence d’une « menace terroriste réelle et actuelle ou prévisible » à laquelle ferait face un Etat membre[7].

La CJUE a par ailleurs constaté que la directive PNR comporte des ingérences d’une gravité certaine dans les droits garantis aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

Ces ingérences peuvent résulter d’un régime de surveillance « continu, non ciblé et systématique » incluant l’évaluation automatisée de données à caractère personnel de l’ensemble des personnes faisant usage du transport aérien.

Le traitement des données de passagers devra toujours faire l’objet d’une limitation à ce qui est « strictement nécessaire » au regard des objectifs visés de lutte contre le terrorisme et des formes graves de criminalité.

La protection du droit au respect de la vie privée et familiale

A ce titre, la Cour juge que le droit de l’Union s’oppose à ce qu’une législation nationale, en l’absence de menace terroriste réelle et actuelle ou prévisible à laquelle fait face l’Etat membre concerné, autorise un traitement, par les autorités compétentes, des données PNR de l’ensemble des déplacements intra-UE.

En effet, la CJUE estime que le traitement des données devrait être limité à certaines liaisons ou à des schémas de voyage ou encore à certains aéroports, gares ou ports maritimes pour lesquels il existe des indications de nature à le justifier. Enfin, la Cour précise que le droit de l’Union s’oppose à une législation nationale prévoyant un système de transfert et de traitement de données aux fins de l’amélioration des contrôles aux frontières et de la lutte contre l’immigration clandestine.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici.

 

[1] Article 4.2 de la directive.

[2] Autorités dont la liste est fixée par chaque Etat membre en vertu de l’article 7 de la directive.

[3] Considérant (6) de la directive PNR.

[4] Articles 1 et 2 de la Directive (UE) 2016/681.

[5] Considérants 9 à 11 de la directive 2016/680.

[6] Arrêt CJUE 21 juin 2022 (affaire C-817/19), considérant 83.

[7] Considérant 171 de l’arrêt considéré.

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin