Passagers aériens et données personnelles ou "PNR"

Le Parlement Européen a adopté le 14 avril 2016 la Directive dite « PNR » (Passenger Name Record) concernant les données des passagers. Quel est son objectif ?

Mise à jour : juil. 2018

Ce texte a pour objectif la prévention d’infractions terroristes tout en encadrant le transfert et la conservation des données personnelles des voyageurs. Mais qu’implique-t-il pour les passagers ?

Les données « PNR » : de quoi s’agit-il ?

Il s’agit des données à caractère personnel communiquées par les passagers aux compagnies aériennes lors de l’achat de leur billet ou pour la réalisation du vol. La directive donne une liste précise des données qui sont concernées par cette dénomination de « PNR »; parmi elles :  

  • le nom,
  • l’adresse et les coordonnées du passager (numéro de téléphone, adresse électronique),
  • les dates du voyage,
  • le numéro de siège,
  • l’itinéraire,
  • les données concernant les bagages,
  • le moyen de paiement utilisé.

La directive vise les vols en provenance ou à destination de l’Union européenne. Mais chaque Etat membre est libre de prévoir également une collecte des données liées aux vols intérieurs au sein de l’Union Européenne. Pour ce faire, chaque Etat membre devra formellement notifier ce choix auprès de la Commission Européenne.

Quel est le but de la directive « PNR » ?

Dans un contexte marqué par les attentats en Europe, l’objectif essentiel de cette directive est d’autoriser et d’encadrer juridiquement le transfert des données des passagers que les compagnies prélèvent pour des raisons commerciales auprès de leurs clients et qui pourront être demandées par les autorités nationales compétentes aux compagnies aériennes.

Un tel transfert de données ne pourra être effectué qu’au cas par cas et « uniquement à des fins de prévention ou de détection d’infractions terroristes ou d’infractions graves, ainsi que d’enquêtes ou de poursuites en la matière ». Le texte prévoit à cet effet une liste exhaustive des infractions pouvant donner lieu à une demande de transfert. (Ex : participation à une organisation criminelle, trafic d’armes, de munition et d’explosifs etc.)

Une conservation des données strictement encadrée

Les données PNR seront conservées pendant 5 ans avant d’être effacées définitivement tandis que les éventuelles autres données transférées par les compagnies aériennes seront immédiatement et définitivement effacées. Le traitement des données sensibles est notamment interdit, c'est-à-dire l’établissement par exemple de statistiques ou de fichiers. Les données qui permettent d’identifier un passager seront masquées à l’issue d’une période de 6 mois après le transfert des données.

Création d’une unité d’informations passagers dans chaque Etat membre

La directive prévoit la mise en place dans chaque Etat membre d’une Unité d’Informations Passagers (UIP). Celle-ci sera chargée de la collecte, de la conservation et du traitement des données PNR et de leur transfert  aux autorités compétentes. Les UIP pourront échanger ces données entre elles et avec Europol, l’agence européenne de coopération policière.

Un délégué à la protection des données sera nommé au sein de chaque UIP afin de contrôler le traitement des données PNR et de mettre en œuvre les garanties correspondantes.

La directive doit à présent être adoptée par le Conseil de l’Union Européenne avant d’être ensuite transposée par les Etats membres de l’Union européenne dans un délai de 2 ans à compter de son entrée en vigueur.