L’année 2010 est décidément une année sensible pour la protection des données en Europe, avec une remise en cause des accords transatlantiques consentis par l’UE suite au traumatisme des attentats du 11 septembre 2001 contre les États-Unis. Armé de son nouveau pouvoir de veto sur les accords internationaux, le Parlement européen doit aussi avaliser les non moins polémiques accords UE/États-Unis et UE/Australie permettant aux deux pays partenaires d’accéder aux données des passagers aériens européens ( Passenger name record, PNR), toujours au nom de la lutte antiterrorisme. Mais contrairement à SWIFT, sur ce dossier, le PE a décidé de prendre son temps. Les conséquences d’un rejet seraient autrement plus graves.

Pour dire « non » à l’accord SWIFT, les eurodéputés ont argué que le transfert de données bancaires pouvait désormais se faire via l’accord de 2003 sur l’assistance juridique mutuelle, entré en vigueur le 1er février (un système plus restrictif car les données doivent être liées à une enquête spécifique, et non transmises en bloc comme pour Swift). Impossible d’avoir ce filet de sécurité pour les PNR. Une réponse négative stopperait net les accès américain et australien. Et la réaction outre-Atlantique serait d’autant moins prévisible que «  la transmission des données PNR fait partie des conditions que les États-Unis ont imposées (aux pays européens) en échange d’une dérogation au régime des visas(via le programme Visa Waiver pour la plupart des États membres) », a souligné la rapporteuse des deux accords, la libérale néerlandaise Sophia In’t Veld devant la commission des libertés civiles, le 4 mars à Bruxelles.

Reste que les inquiétudes des eurodéputés sont toujours les mêmes s’agissant des deux accords signés par le Conseil de l’UE en 2007, mais non encore conclus. Pour se dépêtrer de cette situation, la rapporteuse a plaidé pour un report du vote, jusqu’à ce que la Commission européenne propose un « modèle » commun à tout échange PNR avec des pays tiers. Les préoccupations portent toujours sur l’utilisation de données, au départ commerciales, à des fins de sécurité ; le délai de conservation (l’accord prévoit 15 ans de conservation, après 7 ans les données garderont un statut « non opérationnel » pendant 8 ans) ; le droit de suppression des données erronées ; la possibilité de recours ; la réciprocité pour un accès européen aux données de leurs partenaires.

RÉSOLUTION EN AVRIL

Dès 2008, les eurodéputés avaient énuméré les « conditions minimales »d’un accord : une limitation juridique, une base légale solide, des normes de protection des données, une période de rétention restreinte. En session plénière des 19-22 avril, à Strasbourg, ils doivent adopter une nouvelle résolution précisant leurs exigences. Depuis le début, la critique porte surtout sur la durée de rétention des données. Selon le groupe des experts nationaux du groupe dit « Article 29 » (tiré de la directive de 1995 sur la protection des données personnelles), « les données devraient être retenues pour une courte période qui ne devrait pas excéder quelques semaines ou mois après l’entrée sur le territoire américain. »

« On réfléchit à un cadre plus général », confirme le porte-parole de la commissaire Cecilia Malmström, chargée de la Sécurité intérieure. Ses services préparent un rapport d’évaluation sur le système pour juin. L’idée du PE n’est pas tant d’avoir un PNR européen, comme l’a envisagé l’UE sans succès pour l’instant, sinon de définir - au niveau européen - les données à partager ou non avec les pays tiers et à quelles conditions. « Un accord avec les États-Unis et l’Australie est une chose, mais les autres pays tiers, c’en est une autre », a estimé le conservateur maltais Simon Busuttil.

Lors de l’enregistrement, les compagnies aériennes collectent 19 informations (itinéraire de voyage, lieu d’achat du billet, numéro de place, paiement...). Aujourd’hui, la plupart de ces données PNR peuvent être obtenues par le Bureau de la protection des frontières et des douanes, l’agence du Département de la Sécurité intérieure des États-Unis (DHS), indique la mission américaine à Bruxelles. Le DHS est censé détruire immédiatement les données dites « sensibles » (maladies, préférences alimentaires, etc.).

Fin avril à Strasbourg, les eurodéputés doivent adopter une nouvelle résolution précisant leurs exigences