Partage des données personnelles des passagers de vols d'avion : une action en justice vise à y mettre fin

La Société des droits civils (GFF) et Epicenter.works intentent une action en justice afin que la Directive européenne PNR (sur les données des dossiers passagers) soit renversée par la Cour du justice de l'UE (CJUE).
Depuis mai 2918, les compagnies aériennes ont l'obligation de transférer les données des dossiers passagers (données PNR, de l'anglais Passenger Name Record) aux autorités policières nationales. Ces données PNR contiennent des données sensibles, telles que la date de naissance et les habitudes alimentaires. Ces données sont conservées et centralisées, puis comparées à des "modèles" qui sont crées à partir des caractéristiques liées au vol d'anciens délinquants/criminels. Cela constitue une surveillance de masse des passagers. La campagne NoPNR ("non aux données PNR") vise à rejeter la directive PNR au moyen de poursuites judiciaires stratégiques.

Une surveillance de masse sans motifs de suspicion

Les données PNR de chaque passager voyageant en Europe sont comparées avec des modèles ou profils existants, même lorsque ces derniers ne sont suspectés d'aucun crime ou infraction. Cela permet aux agences responsables de l'application de la loi d'identifier de nouveaux suspects. Malheureusement, des personnes totalement innocentes peuvent être affectées négativement par de faux résultats, obtenus à travers ces programmes automatisés d'évaluation des données (qui sont opaques) et ainsi faire l'objet d'une enquête par la police.

De manière générale, ce sont les autorités policières d'un pays qui sont en charge de conserver et traiter les données PNR, tel que le Bureau fédéral de la police criminelle en Allemagne et en Autriche. Toutefois, d'autres autorités peuvent avoir accès à ces données, tels que les polices locales, les services de renseignement et les agences de sécurité, qui peuvent accéder manuellement aux bases de données. En outre, les données peuvent aussi être échangées avec d'autres pays et, dans certains cas, avec des pays tiers.

Les données PNR sont conservées pour une durée de six mois avec les véritables noms des personnes concernées, puis au-delà de cette période, elles sont conservée pendant quatre ans et demie sous un pseudonyme. Ces derniers peuvent être supprimés dans certaines situations. Ce n'est qu'après cinq ans que les données sont définitivement supprimées, à moins que des mesures policières approfondies aient été entreprises.

La conservation des données PNR est en violation des droits fondamentaux européens

Dans un avis juridique rendu en 2017, la CJUE a estimé que le transfert des données PNR, tel que prévu par une proposition de traité international entre l'UE et le Canada, était en violation des droits fondamentaux des citoyens. La Directive PNR viole également la Charte des droits fondamentaux de l'UE, et surtout le droit au respect de la vie privée et familiale prévu à l'Article 7, ainsi que le droit à la protection des données personnelles prévu à l'Article 8.

En ce qui nous concerne, il n'est pas possible de faire appel directement auprès de la CJUE. Les organisations GFF et epicenter.works ont intenté une action en justice contre l'application de la Directive PNR auprès de plusieurs tribunaux civils et administratifs allemands et autrichiens. Les ONG espèrent que les tribunaux en question se tourneront vers la CJUE et lui renvoient cette question, car seule cette cour peut renverser la Directive PNR et ainsi mettre fin à la rétention des données PNR dans tous les pays membres de l'UE.

Nous tenons à remercier Digital Freedom Fund de nous avoir versé les fonds nécessaires à la conduite de cette campagne.

Vous pouvez trouver plus d'informations sur la campagne NoPNR en cliquant ici.