Publication du cadre légal pour l’analyse des données des passagers dans le cadre de la lutte contre le terrorisme

La loi « PNR » (pour Passenger Name Record) est parue au Moniteur belge. Le texte oblige les sociétés de transport et les opérateurs de voyage des différents secteurs de transport (aérien, ferroviaire, routier international et maritime) à communiquer les données de leurs passagers à une banque de données centrale – la « banque de données des passagers » – afin que celles-ci puissent être analysées dans le cadre du terrorisme, de la radicalisation violente et d’autres formes graves de criminalité comme la fraude ou le trafic d’êtres humains, d’armes ou de drogues. L’objectif est de pouvoir comparer les données collectées avec des critères prédéterminés en vue de découvrir de nouvelles tendances et de nouveaux phénomènes, et de cerner les passagers qui pourraient représenter un danger pour l’ordre public.

UIP

Mais il reste beaucoup de mesures à prendre avant que notre pays puisse concrètement se lancer dans ces analyses. En premier lieu, une « Unité d’Information des Passagers » (ou UIP) doit être créée au sein du SPF Intérieur.Ce service va recueillir, conserver et traiter les données qui lui seront transmises par les sociétés de transport et les opérateurs de voyage. En d’autres termes, c’est lui qui analysera les données et qui les introduira dans la « banque de données des passagers ». Il est crucial que les UIP des différents Etats membres, Europol et les Etats tiers collaborent à ce niveau, et plus particulièrement par rapport à l’échange tant des données des passagers que des résultats de leur traitement.L’organisation du service fera prochainement l’objet de davantage de précisions. Sa composition et son fonctionnement seront bientôt fixées par AR. Dans tous les cas, il aura à sa tête un « fonctionnaire dirigeant », assisté d’un « service d’appui ». Outre ce personnel, l’UIP se composera également de membres détachés de la police fédérale, de la douane, de la Sûreté de l’Etat et du Service général de Renseignement et de Sécurité.A terme, l’unité désignera également un délégué à la protection des données. Celui-ci supervisera notamment le traitement des données et la protection de la vie privée.

Technologie

Outre la création de l’UIP, un certain nombre d’avancées doivent être réalisées au niveau des outils. Cela inclut la mise en place de la « banque de données des passagers », mais le logiciel et les méthodes d’analyse doivent également faire l’objet de développements. L’Autorité Nationale de Sécurité doit par exemple homologuer un « système de communication et d’informations sécurisé et crypté en vertu de l’envoi des correspondances positives automatisé », selon les termes du législateur.

Protocole d’accord

En outre, l’UIP et les services concernés doivent encore conclure un protocole d’accord comprenant les règles relatives au transfert des données (échange, délais maximum pour le traitement, mode d’information en cas de résultat « positif », etc.) ainsi que les règles techniques de sécurité et d’accès (normes minimales de qualité pour les données traitées, protection contre la destruction, autorisations d’accès aux données et aux profils, modalités de conservation, délais de destruction, mesures de protection technologique).

Quelles données ?

En bref, il reste de nombreuses mesures à adopter avant que le projet PNR puisse être appliqué de manière concrète. La loi PNR fait déjà la lumière sur plusieurs principes de base.Elle précise ainsi les données qui devront être traitées. Les sociétés de transport et les opérateurs de voyage doivent fournir à l’UIP les données des personnes à destination de, en provenance de et transitant par la Belgique. Il s’agit tant des données de réservation (date de réservation, dates du voyage, données personnelles, informations de paiement, itinéraire complet, numéros de vol, informations sur les bagages, nombre de voyageurs, etc.) que des données d’enregistrement et d’embarquement (type de document de voyage, pays de délivrance, date d’expiration, transporteur/opérateur de voyage, dates de départ et d’arrivée, numéro de siège, etc.).En d’autres termes, le législateur souhaite obtenir un aperçu détaillé des voyageurs depuis et vers notre pays afin de surveiller la présence de personnes signalées et de personnes ayant un profil à risque.Mais les données des passagers ne peuvent pas se rapporter à l’origine raciale ou ethnique d’une personne, ni à ses convictions religieuses ou philosophiques, ses opinions politiques, son appartenance à un syndicat, son état de santé ou son orientation sexuelle. Lorsque l’UIP reçoit ces informations, celles-ci doivent être immédiatement supprimées.

Objectif

La loi PNR autorise l’analyse et la conservation des données des passagers en vue :

  • de constater et de poursuivre les formes graves de criminalité et les infractions terroristes ;
  • de la mise en œuvre des services de renseignement pour la poursuite, l’analyse et le traitement des renseignements sur les activités pouvant menacer les intérêts fondamentaux de l’Etat ;
  • de prévenir les atteintes graves à la sécurité publique, comme par exemple le radicalisme violent ; et
  • d’améliorer les contrôles des personnes aux frontières, notamment dans le cadre de l’immigration illégale.

Délai de conservation

Les données des passagers sont conservées pendant maximum 5 ans (à compter de leur enregistrement) dans la banque de données, après quoi elles sont détruites. Elles sont toutefois dépersonnalisées dès 6 mois (à partir de l’enregistrement). Cela signifie que les données qui pourraient servir à identifier directement la personne concernée, sont protégées.Les résultats du traitement ne sont conservés que durant le temps nécessaire pour informer les services compétents. Les sociétés de transport et opérateurs de voyage sont ensuite tenus de détruire toutes les données communiquées dans les 24 heures.

Immigration illégale

La loi consacre un chapitre à la présentation détaillée du traitement des données personnelles par les services de police chargés des contrôles aux frontières et par l’Office des Etrangers. L’objectif est ici de communiquer les données des passagers afin de contrôler qui quitte le territoire, et quand. D’une part pour améliorer les contrôles aux frontières, et d’autre part dans le cadre de la lutte contre l’immigration illégale.Mais de nombreuses limitations sont prévues. Ainsi, les données des passagers sont immédiatement transférées après leur enregistrement aux services de police concernés et à l’OE. Ceux-ci conservent ces données dans un fichier temporaire et les détruisent dans les 24 heures après leur communication. Si ces données sont à nouveau nécessaires ultérieurement, les services de police et l’OE doivent introduire une demande spécifique auprès de l’UIP.

Sanctions

Les sociétés de transport et les opérateurs de voyage risquent des sanctions sévères en cas de non-respect de leur obligation d’information. La loi prévoit une amende de maximum 50.000 euros par manquement. En cas de récidive dans les deux ans, l’amende passe à 75.000 euros.La constatation des infractions est une mission du fonctionnaire dirigeant de l’UIP. Le ministre de l’Intérieur décide d’infliger une sanction ou non.Mais la loi prévoit également des sanctions pour les membres de l’UIP qui ne respectent pas l’obligation de secret professionnel, ou qui retiennent délibérément des informations, faisant ainsi obstacle à certains objectifs.

Mesures contre le terrorisme

Le traitement des données des passagers constitue une des 18 mesures prioritaires du gouvernement contre le terrorisme, qui ont été annoncées après les attentats de Paris. Mais cette mesure permet également à notre pays de se conformer aux exigences européennes. La loi transpose ainsi trois directives dans notre droit national :

  • la directive 2016/681 relative à l'utilisation des données PNR dans le cadre de la lutte contre le terrorisme ;
  • la directive 2004/82 sur l'obligation pour les transporteurs de communiquer les données relatives aux passagers ; et
  • la directive 2010/65 les formalités déclaratives applicables aux navires à l’entrée et/ou à la sortie des ports des États membres.

En vigueur…

La date d’entrée en vigueur n’a pas encore été fixée. Elle sera précisée au sein d’un arrêté royal ultérieur. Le législateur a toutefois d’ores et déjà planifié une évaluation trois ans après l’entrée en vigueur.

Source:Loi du 25 décembre 2016 relative au traitement des données des passagers, M.B., 25 janvier 2017 (Loi PNR)

Laure Lemmens / Benoît Lysy

Date de promulgation : 25/12/2016
Date de publication : 25/01/2017

Publié 30-01-2017

  153