Le traitement automatisé de données à caractère personnel "API PNR France" est mis en œuvre par les ministres de l'intérieur, de la défense, chargé des transports et chargé des douanes.
Le système de traitement automatisé de données API PNR France entrera en vigueur au 1er janvier 2015.
Il s'agit d'un fichier tentaculaire.
Le dispositif normatif est codifié aux articles R232-12 et suivants du Code de la Sécurité Intérieure.
- Qui vise t'il ?
Le système est simple. Il vise tous les passagers, de toutes les compagnies aériennes, au départ et à l'arrivée de la FRANCE.
- Quelles sont les données susceptibles d'etre collectées ?
Les données collectées sont issues de la réservation, les données PNR (Passenger Name Record). Elles sont directement fournies par les voyageurs lorsqu'ils réservent un billet d'avion.
Selon l'article R232-14 du Code de la Sécurité Intérieure, les données autorisées à etre recueillis sont les données d'identité, le moyen de paiement, l'agent de voyage, le numéro de siège, la destination, le nombre de bagages, le nombre de passagers à bord du vol...
Puis, les données d'enregistrement et d'embarquement présentes dans les systèmes d'informations des compagnies aériennes.
La collecte des données plus sensibles est en revanche prohibée, notamment, l'état de santé ou encore le régime alimentaire réservés par les passagers sur un vol.
Ce système de traitement est particulièrement sensible, notamment au regard de la liberté d'aller et venir et de la protection de la vie privée.
- Quelles sont les préconisations de la CNIL ?
La CNIL a souligné "des risques particulièrement graves d'atteintes à la vie privée et au respect des principes fondamentaux relatifs à la protection des données personnelles".
Le dispositif prévoit un système de consultation sécurisé.
Les autorités publiques de consultation de ce système de traitement de données (services de police, division anti-terroriste etc...) pourront consulter le fichier à partir d'un logiciel spécialisé et sécurisé.
Du fait de cette garantie, la CNIL valide, en exerçant une certaine vigilance.
- Combien de temps les données personnelles seront-elles conservées ?
Les données recueillis seront conservées cinq ans.
Passé un délai de deux ans après leur collecte, les données sont conservées mais ne seront plus susceptibles d'etre communiquées aux agents des services de police.
On peut légitimement douter de l'opportunité de cette dernière disposition, d'autant que ce système de traitement ne consacre pas de droit d'opposition à la conservation.
Un droit au recours sur ce point pour le titulaire des données collectées peut constituer un chantier intéressant à mener, au service de la protection des données personnelles et de la protection de la vie privée.