La loi anti-terrorisme sur le transfert des données des passagers aériens est entrée en vigueur le 7 août 2017

En janvier dernier paraissait au Moniteur belge la loi dite « PNR » (pour Passenger Name Record) qui organise l’inscription des données des passagers aériens au sein d’une banque de données centrale en vue de la prévention du terrorisme et d’autres formes graves de criminalité. Le gouvernement établit aujourd’hui les mesures de mise en œuvre de cette loi, et fixe l’entrée en vigueur de celle-ci au 7 août 2017.

Benoît Lysy
avion

Obligations des compagnies aériennes

Le nouvel AR du 18 juillet 2017 revient tout d’abord sur les obligations des compagnies aériennes, et plus spécifiquement sur celle de collecter et de transmettre à l’Unité d'information des passagers (UIP) les données des passagers qui entrent ou sont entrés sur le territoire par les frontières extérieures, qui quittent ou ont quitté le territoire par les frontières extérieures et qui passent ou sont passés par une zone transitoire située sur le territoire (vols extra-Schengen).

Les compagnies aériennes sont ainsi tenues de collecter de nombreuses données (données personnelles, données de réservation, ou encore données d’enregistrement et d’embarquement) en vue de les transférer vers la banque de données des passagers (gérée par l’UIP) aux moments suivants :

  • 48 heures avant l’heure de départ programmée du vol ;
  • immédiatement après la clôture du vol, c'est-à-dire dès que les passagers ont embarqué à bord de l’aéronef prêt à partir et qu'ils ne peuvent plus embarquer ou débarquer. On tient ainsi compte des changements de dernière minute.

A noter que ce transfert peut avoir lieu à d’autres moments, si l’UIP demande l’accès à ces données en vue de répondre à une menace précise et réelle liée à des infractions terroristes ou à des formes graves de criminalité.

Les transporteurs aériens doivent en outre effectuer un contrôle de conformité, qui consiste à s’assurer que l'identité de chaque passager, comme indiquée sur son document d’identité, et ses données personnelles, comme indiquées sur son document de voyage, correspondent. L’objectif est ici de vérifier que la personne qui dispose du document de voyage pour un transport précis est effectivement la personne qui monte à bord de l'avion. Dans le cas contraire, le traitement et le transfert des données du passager concerné n’auraient aucun sens.

Enfin, si les compagnies aériennes constatent que les données API dont elles disposent ne sont pas actuelles, pas exactes ou incomplètes, elles doivent prendre les mesures nécessaires afin de corriger ces données au plus tard au moment du deuxième transfert (soit immédiatement après la clôture du vol). Pour rappel, les données API sont des données dites préalables, au nombre de 16, telles que le type de document de voyage, le nom de famille, le prénom, le sexe, la date de naissance et la nationalité du passager, ou encore le lieu et l’heure de départ et d’arrivée.

Modalités de transmission des données

Les transporteurs doivent envoyer les données des passagers à l’UIP par voie électronique, en utilisant l’un des formats de données et les protocoles communs définis par la Commission européenne ou, le cas échéant, par des moyens électroniques offrant des garanties suffisantes concernant les mesures de sécurité techniques et convenus de manière bilatérale.
Toutefois, en cas de perturbation technique, ils peuvent avoir recours à d’autres moyens garantissant un niveau approprié de protection des données pour envoyer les données des passagers, après une concertation avec l’UIP à ce sujet.

A noter que la méthode de transfert ici utilisée est la « méthode push », selon laquelle les transporteurs aériens transmettent les données PNR requises à l'autorité requérante, ce qui leur permet de garder le contrôle sur les données transmises, par opposition à la « méthode pull », selon laquelle l’autorité compétente accède directement au système de réservation du transporteur aérien et en extrait une copie des données PNR requises.
La méthode push implique que les compagnies aériennes sont tenues d’assurer l’organisation technique de la transmission des données des passagers et ce, jusqu’au point d’accès de la banque de données des passagers. Elles doivent en outre garantir la transmission de ces données conformément aux conditions de sécurité décrites dans le document « Directives techniques » émis par l’UIP.

Si les données des passagers envoyées lors des deux transferts programmés sont identiques, la compagnie peut se contenter d’envoyer un message indiquant la similarité des données. Elle peut également à nouveau transférer l’intégralité des données.
A l’inverse, si les données diffèrent entre le premier et le second transfert, la compagnie peut soit à nouveau transférer toutes les données, soit se limiter aux mises à jour de celles-ci.

Entrée en vigueur

Ces modalités (ainsi que la loi du 25 décembre 2016 qu’elles mettent en œuvre) entrent en vigueur le 7 août 2017, soit 10 jours après leur publication au Moniteur belge.
L’arrêté royal du 11 décembre 2006 concernant l’obligation pour les transporteurs aériens de communiquer les données relatives aux passagers est quant à lui abrogé.

Arrêté royal du 18 juillet 2017 relatif à l'exécution de la loi du 25 décembre 2016 relative au traitement des données des passagers, reprenant les obligations pour les compagnies aériennes, M.B., 28 juillet 2017

Voir également

Décision d'exécution (UE) 2017/759 de la Commission sur les protocoles communs et formats de données devant être utilisés par les transporteurs aériens lors d'un transfert de données PNR aux unités d'information passagers, JO L 113 du 29 avril 2017

 

  563