Pages

mercredi 1 février 2023

Lutte contre la grande criminalité et le terrorisme : l’Union va étendre les obligations faites aux transporteurs aériens en matière de données sur les passagers

 


Un nouveau chantier va s’ouvrir visant à assurer un meilleur transfert des données sur les voyageurs aériens vers les services répressifs des Etats membres. L’objectif de cette proposition législative? Mieux cibler les passagers afin de prévenir et réprimer la grande criminalité et le terrorisme.

Actuellement, l’UE collecte deux types de données : des données dites « API » et des données « PNR ». 
Une proposition de règlement vient d’être présentée et concrètement, 2 axes de réforme sont prévues: 

  • Etendre le caractère obligatoire de la collecte des transporteurs aériens des données API non seulement sur les vols extra-UE, mais aussi sur les vols intra-UE, 
  • Permettre un traitement conjoint des données API et des données PNR. 



Quel est le problème ?

Selon l'évaluation de la menace de la criminalité grave et organisée dans l'UE d'Europol, la plupart des crimes organisés impliquent des voyages internationaux, généralement destinés à faire passer des personnes, des drogues ou d'autres marchandises illicites dans l'UE. Notamment, les criminels utilisent fréquemment les principaux aéroports de l'UE ainsi que les petits aéroports régionaux exploitant des compagnies aériennes à bas prix. 

Dans ce contexte, les informations sur les voyageurs aériens sont un outil important pour les autorités répressives dans la lutte contre la criminalité grave et le terrorisme dans l'UE.


Des données API à la directive API 

Depuis l'adoption de la directive API en 2004 , il existe un consensus mondial sur le fait que les données API ne sont pas seulement un instrument clé pour la gestion des frontières, mais aussi un outil important à des fins répressives. 

Uniquement lorsqu'une obligation en ce sens s'applique, les données API sont collectées par le transporteur aérien lors de l'enregistrement du passager (enregistrement en ligne et à l'aéroport). Il est ensuite envoyé aux autorités frontalières  sous la forme d'un "manifeste de la liste des passagers" complet contenant tous les passagers à bord au départ de l'avion. 

Les données API sont considérées comme des informations "vérifiées" car elles correspondent aux voyageurs qui sont finalement montés à bord de l'avion. Elles peuvent également être utilisées par les autorités de police pour identifier les suspects et les personnes recherchées.


Des données API aux données PNR

Les données sur les voyageurs aériens comprennent les informations préalables sur les passagers (API) et les dossiers passagers (PNR) qui, lorsqu'ils sont utilisés ensemble, sont particulièrement efficaces pour identifier les voyageurs à haut risque et pour confirmer les habitudes de voyage des personnes suspectes. Lorsqu'un passager achète un billet auprès d'un transporteur aérien, un PNR sera généré par les systèmes de réservation des transporteurs aériens à des fins commerciales. 

Cela inclut les données sur l'itinéraire complet, les détails de paiement, les coordonnées et les demandes spéciales du passager. Lorsqu'une obligation en ce sens s'applique, ces données PNR sont transmises à l'Unité de renseignements passagers (UIP) du pays de destination et souvent du pays de départ.

Alors que les données API sont considérées comme des informations "vérifiées", les données PNR sont des informations "non vérifiées" fournies par les passagers. Les données PNR d'un certain passager ne contiennent généralement pas tous les éléments PNR potentiels, mais uniquement ceux fournis par le passager et/ou nécessaires à la réservation et donc aux fins commerciales normales du transporteur aérien.


Des données PNR à la directive PNR

Dans l'UE, la directive PNR a été adoptée en 2016 pour garantir que tous les États membres mettent en œuvre des règles sur la collecte de données PNR auprès des transporteurs aériens afin de prévenir, de détecter, d'enquêter et de poursuivre les infractions terroristes et les infractions graves. La directive PNR autorise le traitement conjoint des données API et des données PNR, car sa définition des données PNR inclut "toute information préalable sur les passagers (API) collectée". 

Sa mise en œuvre s’opère en complément des règles de l'UE existantes sur l'obligation aux transporteurs aériens de collecter les données API définies dans la directive API de 2004.  


Un cadre juridique insuffisant

Le cadre juridique actuel de l'UE ne réglemente que l'utilisation des données PNR pour lutter contre la criminalité grave et le terrorisme, mais ne le fait pas spécifiquement pour les données API. Ces données ne peuvent être demandées que sur les vols en provenance de pays tiers, ce qui entraîne une lacune de sécurité, notamment en ce qui concerne les vols intra-UE pour lesquels les États membres demandent aux transporteurs aériens de transférer les données PNR. 

Or, les unités de renseignements passagers (UIP) obtiennent les résultats opérationnels les plus efficaces sur les vols où les données API et PNR sont collectées. Cela signifie que les autorités répressives nationales ne peuvent pas bénéficier des résultats du traitement conjoint des données API et des données PNR sur les vols au sein de l'UE, pour lesquels seules les données PNR sont transférées.

Autre problème : la directive PNR n'oblige pas les transporteurs aériens à collecter des données au-delà du cours normal de leurs activités. Par conséquent, la directive PNR ne conduit pas à la collecte de l'ensemble des données API, car les transporteurs aériens n'ont aucun objectif commercial de collecter ces données.


Une directive qui rapproche insuffisamment les droits nationaux

La directive API n'empêche pas le traitement des données API à des fins répressives, comme le prévoit la législation nationale et sous réserve des exigences en matière de protection des données personnelles . Cependant, la mise en œuvre de cette possibilité dans les États membres est problématique , comme l'a constaté l'évaluation de la directive API. Cela entraîne des lacunes en matière de sécurité en raison d'un manque de critères définis par l'UE sur la collecte et le transfert d'API à des fins répressives : 

  • l' objectif répressif est largement interprété dans la législation nationale de certains États membres , 
  • la diversité des finalités de la collecte des données API ajoute à la complexité du respect du cadre de protection des données personnelles de l'UE. 
  • l'ensemble de données API qui peut être demandé aux transporteurs à des fins répressives, en plus de la pratique de certains États membres de demander des données API allant au-delà de la liste non exhaustive incluse dans la directive API, crée des obstacles supplémentaires pour les transporteurs aériens pour se conformer aux les différentes exigences lors du transport de passagers vers l'UE;
  • la directive API ne donne aucune indication sur les vols pour lesquels des données API peuvent être demandées ni sur l'autorité à laquelle les données API doivent être transférées ou sur les conditions d'accès à ces données à des fins répressives.


La solution : un nouveau « règlement API » 

La proposition de règlement vise donc à établir de meilleures règles pour la collecte et le transfert de données API par les transporteurs aériens. Elle tient compte des interprétations de la Cour de justice de l'Union européenne dans sa jurisprudence récente concernant le traitement des données PNR pour les vols intra-UE.

La base juridique appropriée est l'article 82, paragraphe 1, point d) et 87(2)(a) du traité sur le fonctionnement de l'Union européenne (TFUE).

En vertu de l'article 82, paragraphe 1, point d), du TFUE, l'Union a le pouvoir d'adopter des mesures visant à faciliter la coopération entre les autorités judiciaires ou équivalentes des États membres en matière de poursuites pénales et d'exécution des décisions. En vertu de l'article 87, paragraphe 2, point a), du TFUE, l'Union a le pouvoir d'adopter des mesures relatives à la collecte, au stockage, au traitement, à l'analyse et à l'échange d'informations pertinentes aux fins de la coopération policière dans l'UE.


La nécessité d’aller plus loin

Comme le montre le rapport de la Commission sur le réexamen de la directive PNR, le traitement conjoint des données API et PNR par les autorités répressives augmente considérablement l'efficacité de la lutte contre les crimes graves et le terrorisme dans l'UE.

Cela signifie que les données PNR collectées par les transporteurs aériens à leurs fins commerciales normales et transférées aux autorités répressives doivent être complétées par une obligation pour les transporteurs aériens de collecter et de transférer des données API.

Ainsi, l'utilisation combinée des données API et des données PNR permet aux autorités nationales de confirmer l'identité des passagers et améliore considérablement la fiabilité des données PNR. 


Lutter contre les contrôles au faciès

L’utilisation combinée des données PNR et API avant l'arrivée permet également  aux autorités répressives de procéder à une évaluation et à un filtrage plus approfondi uniquement des personnes qui sont les plus susceptibles, sur la base de critères et de pratiques d'évaluation objectifs et conformément au droit applicable , de constituer une menace pour la sécurité. Cela facilite le voyage de tous les autres passagers et réduit le risque que les passagers soient soumis à un contrôle à leur arrivée par les autorités nationales sur la base d'éléments discrétionnaires tels que la race ou l'origine ethnique qui peuvent être associés à tort à des risques pour la sécurité par les autorités répressives. 


Que prévoit ce nouveau règlement API ?

Contrairement à la situation actuelle, en vertu du règlement proposé, les transporteurs aériens devraient collecter et transférer des données API sur tous les vols couverts, quels que soient leurs besoins commerciaux normaux et y compris également les vols intra-UE. 

En outre, alors que les États membres doivent, en vertu de la directive PNR, garantir que les transporteurs aériens transfèrent les données PNR dans la mesure où ils ont déjà collecté ces données dans le cours normal de leurs activités, le règlement proposé impose aux transporteurs aériens l'obligation de collecter les API données dans des situations spécifiques et de transférer ces données d'une manière spécifique. Le règlement proposé complète donc la directive PNR, car il garantit que dans tous les cas où les autorités répressives nationales – c'est-à-dire les unités de renseignements passagers – reçoivent des données PNR en vertu de la directive PNR, les transporteurs aériens sont tenus de collecter et de transférer également les données API transférées à ces autorités nationales.

À la suite de la transmission des données API aux unités de renseignements passagers (UIP) établies par la directive PNR, les règles relatives au traitement ultérieur des données API par les UIP sont celles fixées dans la directive PNR. La directive PNR permet le traitement conjoint des données API et des données PNR, car sa définition des données PNR inclut «toute information préalable sur les passagers (API) collectée», y compris donc les données API reçues par les UIP conformément au règlement proposé .


Une réarticulation du règlement API et de la directive PNR

Dans la mesure où il existe un éventuel chevauchement entre le règlement proposé et les règles de la directive PNR, les règles du règlement proposé prévalent.

Etant donné que, la définition des «données PNR» en vertu de ladite directive inclut «toute information préalable sur les passagers (API) collectée», il est décider de faire prévaloir ce nouveau règlement règlement, étant donné qu'il s'agit à la fois de lex specialis et de lex posterior. 

En outre, les textes d'application générale s'appliqueront et ils ne sont pas affectés par la présente proposition. C’est le cas du règlement général sur la protection des données (RGPD), la « directive relative à l'application de la loi » sur la protection des données (LED) et le règlement européen sur la protection des données. 


Quel est le coût du projet ?

Pour l’agence européenne chargée des systèmes d’information à grande échelle, eu-LISA, est prévu un budget supplémentaire d'environ :

45 millions d'euros (33 millions dans le cadre du cadre financier pluri-annuel) pour mettre en place le routeur et 9 millions d'euros par an à partir de 2029 pour sa gestion technique, 

27 millions d'euros supplémentaires pour garantir que eu-LISA dispose des ressources nécessaires pour accomplir ses nouvelles missions.

Pour les États membres, 11 millions d’euros (3 millions d’euros au titre de l'actuel cadre financier pluriannuel) seront consacrés à la mise à niveau des systèmes et infrastructures nationaux.


Où va-t-on ?

Quatre ans après le début des opérations du règlement API proposé, et tous les quatre ans par la suite, la Commission soumettra un rapport au Parlement européen et au Conseil évaluant la mise en œuvre du règlement et sa valeur ajoutée. Le rapport rendra également compte de tout impact direct ou indirect sur les droits fondamentaux. Il examinera les résultats obtenus par rapport aux objectifs et il évaluera les options futures.


synthèse du texte par Pierre Berthelet alias securiteinterieure.fr



A lire sur securiteinterieure.fr : 




Aucun commentaire:

Enregistrer un commentaire

remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.