Le fichier PNR favorise-t-il la fuite de données vers les États-Unis ?

Le Rassemblement National a multiplié les attaques ces derniers jours contre le Passenger Name Record (PNR). Ce fichier européen qui collecte les données des passagers aériens a été adopté par le Parlement européen en 2016. Dejà à l'époque les élus RN s'y étaient opposés, sans succès.

"Le PNR consiste à récupérer les données de 500 millions d'européens. Cela participe de la colonisaton de nos données par des puissances étrangères", a estimé Marine Le Pen au micro du Grand Jury, ce dimanche 14 avril, ajoutant en guise d'argumentaire que "pas un seul terroriste n'a pris l'avion pour venir commettre un attentat sur notre territoire"

"Je préfère le ciblage plutôt que le flicage. Je pense que le PNR (...) est totalement inefficace, avançait déjà Jordan Bardella sur France Info le 11 avril, reprenant le terme de "colonisation" et visant les Etats-Unis. Et d'ajouter, (presque) sur la même ligne que sa présidente : "Citez-moi un terroriste qui depuis 2015 a frappé par avion (...) Les islamistes sont déjà dans nos quartiers".

En sachant qu'aucun terroriste - quelle que soit sa nationalité - n'a frappé la France par avion, au moins un exemple récent vient contredire le fait qu'aucun d'entre eux ne soit arrivé dans le pays par les airs  : l'auteur de l'attaque du Louvre en janvier 2017 est ainsi arrivé dans la capitale par avion, depuis Dubaï. Comme le révélait à l'époque l'islamologue Romain Caillet, Abdallah El-Hamahmy avait même annoncé son trajet sur le réseau social Twitter. On peut toutefois reconnaître que de nombreux auteurs d'attaques terroristes en France sont Français et n'avaient pas pris d'avion juste avant leur opération.

Reste l'autre partie de la proposition des deux cadres d'extrême droite : l'utilisation par des puissances étrangères, via le PNR, des données aériennes des Français et des Européens. 

Il faut en premier lieu bien comprendre ce qu'est ce fichier. Le PNR est un fichier regroupant les informations collectées auprès des passagers aériens au stade de la réservation commerciale, principalement par les compagnies aériennes. Que contiennent ces données ? Entre autres : le nom du passager, la nationalité, l’itinéraire, les vols concernés, les données relatives aux bagages, les tarifs accordés, le numéro de carte bancaire du passager, ainsi que les services demandés à bord (aménagement pour handicapés, ou préférences alimentaires - végétarien, asiatique, casher, etc.)

Les compagnies aériennes ont l'obligation de transmettre ces informations pour tout passager voyageant sur un vol en partance ou à destination de la France (transit y compris). En cas de non-respect, des sanctions - jusqu'à 50.000 euros d’amende et 75.000 euros en cas de récidive dans les deux ans - peuvent leur être infligées. 

Ces informations sont recueillies par l'Unité Information Passagers (UIP), une structure interministérielle partagée entre les ministères des Finances, des Transports, de la Défense et de l'Intérieur, et basée à l'aéroport Roissy-Charles-de-Gaulle. Chaque pays de l'UE a sa propre unité, chargée de la gestion et de la protection des données.

Les informations peuvent être transmises à certaines autorités (agents de police, des douanes, du renseignement en France, et Europol), sous certaines conditions. Les cas se limitent à "la prévention et de la répression des actes de terrorisme, de la prévention et de la répression des crimes graves (par exemple, la traite des êtres humains, le trafic de drogues ou la pornographie infantile, ndlr), et de la prévention et de la constatation des atteintes aux intérêts fondamentaux de la Nation", explique l'UIP.

Les autorités compétentes n'ont pas un accès direct au fichier. Les personnes habilitées "ne peuvent que soumettre des requêtes à l’UIP (...) qui les valide ou les refuse après avoir vérifié leur conformité." Par ailleurs, l'UIP partage les alertes créées à partir du traitement des données. Le but est donc d'aller plus loin que le repérage des cibles déjà suspectées.

Ces données PNR peuvent être conservées pendant une période de cinq ans et trente jours. Au bout de 6 mois, ils sont dépersonnalisées par masquage du nom du passager et de ses coordonnées. 

Affirmer que les données du PNR sont confiées au gouvernement américain est exagéré. Un accord PNR existe bel et bien entre l'UE et les Etats-Unis mais il a été mis en place bien avant le PNR européen, dès 2007. Ce premier accord provisoire a été revu en 2012 de manière pérenne. Ce n'est donc pas le PNR européen qui permet la transmission de données outre-Atlantique.

Les autorités américaines ont mis ce système en place dans leur pays après les attentats de 2001. Elles ont été imitées par le Canada et l'Australie (avec qui l'Union a aussi établi des accords). Selon l'administration américaine, ce type de données a "permis de détecter un tiers des terroristes potentiels identifiés par les Etats-Unis" en 2009, rapporte le JDD.

Il est important de noter que - comme pour le PNR européen - des garde-fous ont été mis en place. En ce qui concerne les données dites sensibles (origine ethnique, croyance religieuse, choix de menu spécifique pouvant donner des indications sur l'appartenance religieuse, orientation sexuelle, demandes d’assistance pour des raisons médicales), leur utilisation est interdite sauf lorsque la vie d’une personne est en danger. Ces données sont conservées par les autorités pendant 30 jours, avant d'être effacées si elles ne font pas l’objet d’une enquête spécifique. En ce qui concerne le PNR européen, cette collecte est tout bonnement interdite.

Les données sont conservées pendant cinq ans dans une base active. Comme au sein de l'UE, elles sont dépersonnalisées au bout de six mois, de manière à ce que la personne concernée ne soit plus immédiatement identifiable. Alors qu'elles sont ensuite supprimées en Europe, elles passent ensuite une base de données passive pour les cas de criminalité transnationale et 15 ans pour le terrorisme.

Que ce soit pour le PNR européen ou américain, les citoyens de l'UE peuvent exercer un recours administratif et judiciaire si leurs données sont utilisées de manière abusive. Ils ont également un droit d’accès et de rectification des données.

Des ONG, comme l'Association Européenne pour la défense des Droits de l'Homme, ont toutefois toujours émis des réserves en ce qui concerne l'accord entre les Etats-Unis et l'Europe, le respect des données privées étant plus limité outre-Atlantique.