Information juridique intelligente
 France | +33 170726541

Délibération n° 2014-308 du 17 juillet 2014 portant avis sur un projet de décret relatif à la création d'un traitement de données à caractère personnel dénommé « système API-PNR France » pris pour l'application de l'article L. 232-7 du code de la sécurité intérieure et fixant les modalités de transmission au service à compétence nationale « Unité Information Passagers » des données relatives aux passagers par les transporteurs aériens (demande d'avis n° 14014804)

As Enacted Cited authorities 4 Cited in Related
Vincent
JurisdictionFrance
Publication au Gazette officielJORF n°0225 du 28 septembre 2014
Date de publication28 septembre 2014
Enactment Date17 juillet 2014
CourtCOMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES
Record NumberJORFTEXT000029504891


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret portant création d'un traitement de données à caractère personnel dénommé « système API-PNR France » pris pour l'application de l'article L. 232-7 du code de la sécurité intérieure et fixant les modalités de transmission au service à compétence nationale « Unité Information Passagers » des données relatives aux passagers par les transporteurs aériens ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2004/82/CE du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers ;
Vu le code de procédure pénale, notamment ses articles 695-23 et 706-23 ;
Vu le code de la sécurité intérieure, notamment son article L. 232-7 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26 ;
Vu la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret portant création d'un traitement de données à caractère personnel dénommé « système API-PNR France » et fixant les modalités de transmission au service à compétence nationale « Unité Information Passagers » des données relatives aux passagers par les transporteurs aériens.
Ce projet de décret est pris en application de l'article L. 232-7 du code de la sécurité intérieure, créé par la loi n° 2013-1168 du 18 décembre 2013 susvisée, sur laquelle la commission s'est prononcée dans sa délibération n° 2013-219 du 18 juillet 2013.
L'article L. 232-7 du code de la sécurité intérieure permet la mise en œuvre d'un traitement automatisé de données à caractère personnel pour les besoins de la prévention et de la constatation des actes de terrorisme, des infractions mentionnées à l'article 695-23 du code de procédure pénale et des atteintes aux intérêts fondamentaux de la Nation, du rassemblement des preuves de ces infractions et de ces atteintes ainsi que de la recherche de leurs auteurs.
Cet article prévoit qu'un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, en détermine les modalités d'application. Il s'agit du présent projet de décret. Compte tenu des finalités poursuivies par le traitement projeté, il y a en outre lieu de faire application des dispositions de l'article 26 de la loi du 6 janvier 1978 modifiée qui soumettent la création d'un tel traitement à un acte réglementaire pris après avis motivé et publié de la commission.
Sur la création d'un nouveau traitement expérimental de données API et PNR :
A titre liminaire, la commission relève que le « système API-PNR France » concernera toutes les compagnies aériennes et l'ensemble des passagers des vols à destination et en provenance du territoire national, à l'exception des vols reliant deux points de la France métropolitaine. Ainsi, près de 100 millions de personnes par an sont concernées par le traitement projeté.
En outre, la mise en œuvre de ce système suppose la collecte d'un volume très important de données, en l'espèce, des données de réservation (« Passenger Name Record », dites PNR) et des données d'enregistrement et d'embarquement (« Advance Passenger Information », dites API) de tous les passagers aériens. Il s'agit de données initialement collectées par des entreprises de transport aérien dont la plupart sont privées, à des seules fins commerciales, et leur caractère exact, complet et mis à jour présente de ce fait une fiabilité incertaine.
De plus, le traitement projeté permettra d'effectuer un rapprochement entre les données collectées et d'autres fichiers de police judiciaire et administrative relatifs à des personnes ou des objets recherchés ou surveillés. Il permettra également d'expérimenter de nouvelles modalités d'exploitation de ces données. Ainsi, il sera possible de savoir si une personne ou un objet, compte tenu de ses caractéristiques de déplacement, présente un risque particulier au regard des finalités énumérées par l'article L. 232-7 du code de la sécurité intérieure et doit dès lors faire l'objet de mesures particulières. L'exploitation des données API et PNR permettra en effet le ciblage des individus au travers de différents critères préétablis ainsi que leur classement sur une échelle de risques, grâce à l'utilisation d'un outil de scoring.
De telles possibilités seront enfin offertes à un très grand nombre de services, dotés de prérogatives de police judiciaire ou de police administrative, à l'instar de tous les services de renseignement spécialisés.
Eu égard à l'ampleur de ce traitement, tant au niveau du nombre de personnes concernées, du volume de données collectées, du grand nombre de personnes susceptibles d'y avoir accès, que des nouvelles conditions d'exploitation de ces données, la commission estime que le traitement projeté est susceptible de porter une atteinte particulièrement grave au droit au respect de la vie privée et à la protection des données personnelles.
Une telle atteinte ne saurait être admise que si elle apparaît strictement nécessaire au but poursuivi et qu'elle présente des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données personnelles. La commission estime ainsi que des mesures juridiques et techniques adaptées doivent être prévues afin d'assurer un haut niveau de protection des données.
A cet égard, elle relève que l'existence de dispositions législatives précises, introduites par la loi du 18 décembre 2013 susvisée ainsi que les dispositions réglementaires objet du présent décret constituent une première garantie permettant d'encadrer le risque d'atteinte portée à la vie privée et à la protection des données personnelles des personnes concernées par le traitement.
La commission relève également que des garanties supplémentaires ont été prévues par le ministère de l'intérieur, s'agissant des modalités de...

Pour continuer la lecture

SOLLICITEZ VOTRE ESSAI

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT