Les USA veulent ficher, pendant 15 ans, les voyageurs européens

Le 8 juin 2011

Les instances européennes sont appelées à valider le fichage des passagers aériens à destination des Etats-Unis. Problème: il ne respecte pas vraiment les droits fondamentaux européens...

Les Etats-Unis veulent pouvoir conserver, pendant 15 ans, les données personnelles (noms, coordonnées, numéros de carte bancaire et de téléphone) de tous les passagers aériens à destination de leur pays, ainsi que leurs itinéraires, les personnes avec qui ils voyagent, etc. Plusieurs pays, dont la France, auraient exprimé des doutes sur la conformité du protocole d’accord établi par la Commission européenne qui, pour certains eurodéputés, violerait la charte des droits fondamentaux, ainsi que la convention européenne des droits de l’homme.

Dans la foulée des attentats du 11 septembre 2001, les Etats-Unis ont imposé aux compagnies aériennes d’accéder à leurs fichiers clients, connus sous le nom de code PNR (pour Passenger Name Record, données des dossiers passagers), faute de quoi elles pouvaient se voir interdire d’atterrir.

Cette exigence allant à l’encontre des textes de loi européens encadrant la protection et la circulation des données personnelles, les Etats-Unis cherchent depuis à officialiser, par un accord portant sur “le traitement et le transfert de données des dossiers passagers“, ce qu’ils continuent d’exiger des compagnies aériennes.

Un premier accord, négocié en 2004, avait été invalidé par la Cour de justice européenne en 2006 au motif qu’il n’était pas fondé “sur une base juridique appropriée“. Un second accord, signé en 2007, avait été rejeté par les eurodéputés, au motif qu’il ne respectait pas les normes européennes en matière de protection des données, et parce qu’ils entendaient ainsi “refuser le profilage” :

Refuser le profilage : le Parlement réitère sa position selon laquelle les données PNR ne peuvent en aucun cas être utilisées à des fins d’exploration de données ou de profilage. Il faut donc préciser les différences entre les concepts d’«évaluation du risque» et de «profilage» en matière de PNR.

Le groupe du G29, qui regroupe les CNIL européennes, a plusieurs fois dénoncé lui aussi cette “surveillance généralisée de tous les passagers, indépendamment du fait qu’ils soient soupçonnés ou innocents“. Tous objectent que les Etats-Unis “n’ont jamais prouvé de façon concluante que la quantité considérable de données passagers collectée est véritablement nécessaire à la lutte contre le terrorisme et la grande criminalité“.

Un risque de “fuite” vers des pays tiers

Le Guardian a récemment publié une version de travail du projet d’accord établi avec la Commission européenne. Il reprend pour l’essentiel les exigences américaines. Le Département de la Sécurité intérieure (DHS) américain voudrait ainsi pouvoir accéder au PNR 96 heures avant le décollage des avions (contre 72h à ce jour), afin d’avoir le temps de comparer les données avec leurs listes noires de terroristes et d’immigration.

Les données sensibles (couleur, origine ethnique, opinions politiques, croyances religieuses, opinions philosophiques, appartenances syndicales, données de santé ou sur la vie sexuelle des individus) seront “masquées” au moyen de filtres automatisés. Mais leur utilisation sera néanmoins permise “dans des circonstances exceptionnelles où la vie d’un individu pourrait être mise en péril” et “au cas par cas“.

Les données devront être “dépersonnalisées” au bout de 6 mois, puis, 5 ans après, stockées dans une base “dormante” pendant 10 ans. Elles pourront également être confiées à des services de pays tiers, et non-européens, ouvrant la voie à leur possible réutilisation, ou détournement, par des fonctionnaires de pays moins scrupuleux en matière de protection des données personnelles, ou encore plus faillibles en terme de corruption.

Les passagers qui, par erreur, se verront refuser à l’embarquement, ou dont les données auront été détournées, ne pourront déposer de recours qu’auprès de la justice américaine.

La France critique le protocole d’accord

Pour Edri, qui fédère 28 ONG européennes de défense des libertés, l’accord autorise le “profilage” qu’avait refusé les eurodéputés, et donc “l’utilisation des données pour classer les passagers en fonction des risques qu’ils pourraient poser“.

Sept pays (Allemagne, Autriche, Belgique, France, Irlande, Portugal et république Tchèque), inquiets des risques de fuite de données lors de leur transmission à des pays tiers, auraient exprimé des doutes, notamment en ce qui concerne le transfert des données PNR à des pays tiers, et exprimé des réserves au motif que “l’accord pose problème“.

D’après un compte-rendu des négociations, qu’OWNI a pu consulter, si la France n’a pas encore pris position de façon définitive, elle n’en aurait pas moins “massivement critiqué les garanties insuffisantes” du protocole d’accord, l’Assemblée nationale considérant qu’il s’agit d’un “dossier conflictuel“.

Une efficacité qui reste à démontrer

La Commission européenne, de son côté, refuse de renégocier l’accord. Le Sénat américain a quant à lui adopté, le 18 mai, une résolution hostile à toute modification du protocole d’accord :

Nous ne pouvons simplement pas accepter de changements à l’accord qui pourraient limiter à l’avenir notre capacité d’identifier et d’arrêter des terroristes ou des terroristes potentiels.

Les sénateurs américains avancent que, depuis 2001, le PNR aurait permis l’arrestation d’”au moins deux terroristes“, Faisal Shahzad, qui avait déposé une bombe à Times Square, et David Headley qui avait participé aux attentats de Mumbai en 2008.

Dans les faits, Shahzad a non seulement été arrêté aux États-Unis, et non en Europe, mais il avait même réussi à embarquer dans l’avion alors même qu’il avait été inscrit sur la liste noire des personnes interdites d’embarquement… Quant à Headley, les autorités indiennes se sont précisément indignées de la facilité avec laquelle il avait réussi à prendre si souvent l’avion entre le Pakistan, l’Inde et les États-Unis…

Plusieurs eurodéputés ont d’ores et déjà déclaré que l’accord, en l’état, était “injustifiable et disproportionné“. Bien qu’absent de l’agenda du Conseil Justice et Affaires intérieures des 9 et 10 juin prochains, l’accord PNR pourrait y être débattu, en même temps qu’un autre protocole d’accord similaire, passé avec l’Australie qui, lui, limite la rétention des données à 5 ans “seulement“.

Reste donc à savoir si les instances européennes respecteront la charte des droits fondamentaux, ainsi que la convention européenne sur les droits de l’homme, ou si elles s’aligneront sur les exigences américaines.


Crédits Photo FlickR CC atomicjeep / Paul Nicholson. Voir aussi la page Wiki du German Working Group on Data Retention consacrée au PNR.

Laisser un commentaire

  • Arnaud le 8 juin 2011 - 13:25 Signaler un abus - Permalink

    En français quand on parle de la couleur d’une personne, on ne parle pas de “race” comme vous le faites, mais plutôt de “groupe ethnique” ou tout simplement de couleur de peau.

    Vous avez raison; j’ai rectifié

    jmm

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • J le 8 juin 2011 - 14:31 Signaler un abus - Permalink

    N’est ce pas déjà le cas, cf https://esta.cbp.dhs.gov/esta/WebHelp/helpScreen_fr.htm#DP2

    L’ESTA est obligatoire pour les passagers des pays partenaires du Programme d’Exemption de Visa soit pas mal de pays européens, dont la France.

    2+1+12 = 15 ans.

    Comme indiqué, le DHS l’impose aux compagnies aériennes depuis 2001. Mais cela contrevient aux textes de loi européens. Ce pour quoi il convient de signer un protocole d’accord officiel : les USA veulent légaliser leurs pratiques… et c’est tout l’enjeu du débat.

    jmm

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Mo' le 8 juin 2011 - 14:34 Signaler un abus - Permalink

    Merci pour la tranche de rigolade ! La France qui se permet de critiquer le fichage alors qu’elle essaye d’en faire autant avec internet et autres.. Trop fort ! L’hôpital qui se fout de la Charité.
    Est-ce que c’est moi où est-ce que tout en “haut” ils se sont lancés un pari, à celui qui arrivera a faire passer la plus grosse connerie pour voir jusqu’où on peut pousser le moutonnage ?

    Sinon comme Arnaud, une seule race, plusieurs couleurs ;)

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Antony Drugeon le 8 juin 2011 - 14:52 Signaler un abus - Permalink

    Bonjour,
    le sujet est intéressant, mais j’ai senti que le titre me survendait l’information.
    Au final, qu’en est-il de ce projet ? A quel stade d’avancement en est-il ?
    Et surtout, qui est derrière cette proposition ? L’administration Obama ? Des sénateurs ? Ceux dont vous parlez sont-ils plutôt républicains ? démocrates ? Les deux ?

    Quelle est cette instance que le Département de la Sécurité intérieure (DHS) américain ?
    Faute de temps je n’ai eu que ce rapide aperçu, mais difficile d’en apprécier l’importance de cette instance :
    http://fr.wikipedia.org/wiki/D%C3%A9partement_de_la_S%C3%A9curit%C3%A9_int%C3%A9rieure_des_%C3%89tats-Unis

    Merci

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Patrick le 8 juin 2011 - 15:11 Signaler un abus - Permalink

    Qu’en est-il de la réciproque ?
    Nos gouvernement ont-ils accès aux comptes bancaires des voyageurs américains ?
    Comment peut-on encore faire confiance aux USA, et croire que la frontière données gouvernementale/ secteur privé est imperméable ?

    Dixit cette question parlementaire, la France en serait encore au stade de l’expérimentation :

    Pour permettre aux services de police de mieux anticiper les menaces terroristes et de mieux lutter contre l’immigration clandestine, la loi du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers les autorise, en application notamment de la directive européenne 2004/82 du 29 avril 2004, à se faire communiquer par les transporteurs aériens, maritimes et ferroviaires les informations enregistrées dans les systèmes de réservation et de contrôle des départs (données d’enregistrement, dites données APIS, et données de réservation, dites données PNR, pour Passenger Name Record). Le Gouvernement a fait le choix de mettre en oeuvre ces dispositions de façon expérimentale, uniquement pour les transporteurs aériens, pour les données APIS et pour les vols en provenance ou à destination directe d’États n’appartenant pas à l’Union européenne. Un fichier des passagers aériens (FPA) a ainsi été institué pour deux ans par un arrêté du 19 décembre 2006, prorogé par un arrêté du 28 janvier 2009. Un nouvel arrêté sera prochainement publié pour reconduire cette expérimentation jusqu’au 31 décembre 2011. Dans un souci d’efficacité, le choix a été fait de restreindre l’expérimentation à sept pays. Des travaux techniques sont cependant en cours pour étendre la portée du FPA à 31 États, ainsi que pour élargir son champ d’application aux données de réservation (données PNR).

    jmm

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Buzut le 9 juin 2011 - 8:32 Signaler un abus - Permalink

    Championnat du monde de la plus grosse base de données sur les données personnelles !

    Plus sérieusement, quand on voit ça, ça fait peur !
    Sachant que les états unis, comme beaucoup d’autres gouvernements, sont la cible d’attaques informatiques, que se passe-t-il si nos données perso se retrouvent en Chine — avec les numeros de CB pour les hackers et des données sensibles pour les démocrates chinois on contente tout le monde !

    Dernier point que je n’ai pas bien compris, il n’y a pas d’accord avec l’europe, mais si je comprend bien le systeme est tout de même en place depuis 2001 WTF ?

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • sandrine le 9 juin 2011 - 17:53 Signaler un abus - Permalink

    regiscunin@orange.fr,patrick.leinen@wanadoo.fr

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • piotr le 9 juin 2011 - 23:05 Signaler un abus - Permalink

    Si après ces mesures, il y a encore des européens assez fous pour encore aller aux states, tant pis pour eux en cas de problème.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Ouallonsnous ? le 10 juin 2011 - 19:06 Signaler un abus - Permalink

    Ce n’est pas aux instances de l’UE anglo-américaine qu’il faut demander de respecter les européens !

    Les gouvernements des pays européens doivent se défier au plus haut point de ces “collabos” !

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • emcee le 11 juin 2011 - 23:01 Signaler un abus - Permalink

    “survendre l’information”? Cela fait des années que les US demandent à l’Europe de leur livrer les fichiers des citoyens européens sous prétexte de “lutte contre le terrorisme”.

    Ils ont réussi à imposer des informations sur les passagers des usagers des compagnies aériennes, toujours pour traquer le “terroriste”. Voir:
    Prenez l’avion : Big Brother veille sur vous
    http://www.ldh-toulon.net/spip.php?article1351

    Quant à garder les fichiers pendant 15 ans, c’est déjà énorme; mais qui pourra certifier 1) qu’elles seront toujours valables, à savoir mises à jour – et qu’il n’y aura aucune erreur 2) que les données seront réellement détruites au bout de 15 ans, quand on sait ce qui peut se passer pour des dossiers informatisés.
    Exemples:
    Les bases de données disparaissent:
    http://www.ldh-toulon.net/spip.php?article2373
    http://www.ldh-toulon.net/spip.php?article2869
    Alors, 15 ans, ce serait presque “raisonnable” si les conditions requises étaient appliquées.
    Mais j ne suis pas optimiste.

    @buzut: pas besoin de se faire peur avec la Chine, les Etats-Unis sont tout aussi capables, sinon plus, d’utiliser des données personnelles de façon illégale et criminelle. Et d’incarcérer des innocents, comme à Guantanamo.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • ungars le 13 juin 2011 - 9:00 Signaler un abus - Permalink

    FAISONS LA MEME CHOSE : FICHONS LES AMERICAINS PENDANT 15 ANS. ON VERRA BIEN LEUR REACTION…

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • jnm le 13 juin 2011 - 14:09 Signaler un abus - Permalink

    Tout cela semble un pas de plus dans le fichage de toutes nos activités, outre-atlantique, ou ici. On a beaucoup parlé du profilage et fichage volontaire dans facebook et autres services de web2, mais on a peu parlé du fichage et de la collection de données par les gens qui utilisent les services de google, comme gmail, googledocs, maps ou autres.
    Tous ceux qui utilisent ces services ont signé ceci, lorsqu’ils ont coché la case lors de leur inscription:
    Extrait de l’Article 11.1 du TOS des services de Google:

    “En soumettant, affichant ou publiant le Contenu, vous acceptez de concéder à Google une licence perpétuelle, irrévocable, pour le monde entier, à titre gratuit et non-exclusive pour reproduire, adapter, modifier, traduire, publier, représenter, afficher et distribuer tout Contenu que vous soumettez, affichez ou publiez sur les Services, ou par le biais des Services.”

    ainsi que ( art 11.2)

    “Vous convenez que cette licence comprend le droit pour Google de mettre ledit Contenu à la disposition de sociétés, organisations ou individus tiers avec lesquels Google entretient des rapports pour la fourniture de services communs, et de l’utiliser en conjonction avec la fourniture desdits services.

    ainsi que (art 11.3)

    “Vous reconnaissez que Google, [..], peut (a) transmettre ou distribuer votre Contenu sur différents réseaux publics et sur plusieurs supports ”

    et nous lisons également, dans les règles de confidentialité, que

    “Nous pensons en toute bonne foi que l’accès, l’utilisation, la protection ou la divulgation desdites informations est raisonnablement nécessaire, dans toute la mesure permise ou requise par la loi, pour (a) se conformer à une obligation légale, réglementaire, judiciaire ou toute autre demande émanant d’une autorité étatique, (b) faire appliquer les Conditions d’utilisation en vigueur, y compris pour constater d’éventuelles violations de celles-ci, (c) déceler, éviter ou traiter des activités frauduleuses, les atteintes à la sécurité ou tout problème d’ordre technique, ou (d) se prémunir contre toute atteinte aux droits, aux biens ou à la sécurité de Google, de ses utilisateurs ou du public. ”

    rien n’est plus flou que ces derniers points, surtout lorsqu’on lit également ceci

    “Comme toutes les entreprises de technologie et de communication, nous recevons des demandes de la part de gouvernements dans le monde entier pour que nous leurs fournissions des informations sur les utilisateurs de nos services et produits. ”

    et que l’on connait les accords entre Google et la NSA en 2008…ils annoncent par ailleurs sur leur site, avoir mis en place, ou être en train de le faire, une interface directe entre les agences de sécurité, et le (votre) contenu. C’est bien plus précis qu’une dizaine de critères dans une fiche de transport aérien.

    Un article sur l’analyse politique et juridique du TOS des services de google, et sur les relations de google avec les agences de sécurité et de renseignement serait bienvenu sur owni…je pense que cela remettrait plein de nouveaux serveurs de mail en route, et donc cela fortifierait la neutralité et l’anti-centralisation du web.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Spyro le 13 juin 2011 - 16:05 Signaler un abus - Permalink

    “couleur, origine ethnique, opinions politiques, croyances religieuses, opinions philosophiques, appartenances syndicales, données de santé ou sur la vie sexuelle des individus”
    Je suis sûr de ne donner aucune de ces informations aux compagnies aériennes quand je voyage. (La couleur se voit sur la photo du passeport évidemment). Je me demande donc ce que ça peut bien avoir à faire avec les PNR.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Ouallonsnous ? le 13 juin 2011 - 18:54 Signaler un abus - Permalink

    Il n’y a aucune données à communiquer aux Américains, sachant que les terrorristes c’est leur gouvernement lui même qui les fabriquent !

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Jovial le 14 juin 2011 - 13:52 Signaler un abus - Permalink

    @ Arnaud…”en français”…
    Et à quel “groupe ethnique” appartient quelqu’un qui a la peau de couleur marron foncé et qui a vécu, comme ses parents,toute sa vie en Bretagne , en dehors de ses études supérieures de longue durée à Paris ?
    L’”ethnie” est un cache-sexe. Il n’y a pas de races humaines (aussi faut-il parler d’approche raciste et non pas raciale – la dernière sous-tend leur existence). De même, “ethnie” est ailleurs une appellation qui date de nos missions civilisatrice, qui a pris la définition suivante : “Groupe d’êtres humains qui possède, en plus ou moins grande part, un héritage socio-culturel commun, en particulier la langue” (TLFI) pas de couleur là-dedans.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
4 pings

Derniers articles publiés