Données des passagers aériens : qui les utilise et dans quel but ?
Alors que les débats continuent sur la préservation des données, le monde de la mobilité aérienne dans l’encadrement juridique et le type de données à préserver, bien plus que les données de mobilité terrestres. Quelles données intéressent ? Dans quel registre ? Décryptage.
Nombreuses sont les données collectées lors d'un déplacement aérien. Nom et prénom, itinéraire et vols concernés, dates de réservation et d'émission du billet, contact à terre du passager (nom, numéro de téléphone, e-mail), tarifs accordés, informations de paiement, ou encore services demandés à bord (préférences alimentaires, services liés à l’état de santé du passager...). In fine, elles servent à mieux suivre et anticiper les flux des passagers pour les compagnies aériennes, les aéroports et les gouvernements.
Le système API-PNR
Il faut distinguer deux types de collecte de données. Le Passenger Name Record (PNR), soit le "dossier passager" qui regroupe les données de réservation, a été introduit par les compagnies aériennes pour pouvoir échanger des informations sur une base commune au cas où les passagers auraient besoin de vols de plusieurs compagnies aériennes pour atteindre leur destination.
Les données de l'Advanced Passenger Information (API), ou "renseignements préalables sur les voyageurs", portent de leur côté sur les informations du passeport et incluent également des données générales sur les vols empruntés. Le système API-PNR qui combine ces deux jeux de données sert entre autres à la lutte contre le terrorisme ou le trafic de drogue.
Shathil Nawaf Shathil, doctorant en droit comparé à Paris 1 Panthéon Sorbonne, qui réalise une thèse sur le sujet, explique : "Ces données sont communiquées par les entreprises de transport aérien à un service à compétence nationale dénommé 'Unité Information Passsagers'. L’UIP procède, sur demande des services compétents, comme les services de police ou renseignement, à l’exploitation de ces données selon diverses modalités et leur transmet les réponses."
Quels accès par le personnel des compagnies ?
L'accès à ces informations par le personnel des compagnies aériennes est encadré. Un employé d’Air France au sein de la direction des opérations témoigne : "Certains agents ont accès aux PNR des clients mais ne peuvent les utiliser qu’à des fins professionnelles, par exemple pour affecter un passager sur un nouveau vol à la suite d’une correspondance manquée. Ils ont accès à l’historique client dans des cas de figure spécifiques : si la compagnie a récemment perdu votre bagage sur un vol, si vous avez eu un geste commercial comme un surclassement, si vous avez eu un comportement inapproprié, si vous avez demandé une chaise roulante ou encore si vous avez raté un vol parce que vous êtes arrivés en retard à la porte d’embarquement. C’est ce qui est appelé la continuité client."
Un encadrement juridique bien défini...
Air France, dans un échange par e-mail, rappelle que "tout ceci se fait en conformité avec les lois en vigueur en la matière, notamment la réglementation RGPD, et dans le transport aérien, que ce soit en matière d’organisation, d’infrastructures et de consentement client".
Denis Berthault, président du GF2I, groupement français de l’industrie de l’information, précise : "Nous ne sommes pas dans un no man’s land juridique : la directive 2016/681 du 27 avril 2016, dite Directive PNR, encadre déjà le traitement, la conservation et le transfert des données des dossiers passagers aux autorités compétentes".
Par ailleurs, un arrêt récent (21 juin 2022) de la Cour de justice de l’Union européenne a encore précisé le périmètre des données susceptibles d’être communiquées. "On comprend que, par cette construction jurisprudentielle, les droits fondamentaux des passagers sont plus et mieux protégés, tout en permettant l’exploitation de ces données dans des cas avérés de lutte contre le terrorisme et la criminalité", conclut Denis Berthault.
...Notamment pour le profilage des passagers
La loi encadre de manière stricte ce qu’on appelle le profilage, qui consiste à utiliser les données personnelles d'un individu pour tenter d'analyser et prédire son comportement. "Lorsqu’elle est saisie d’une requête, l’Unité Information Passagers procède à l’exploitation des données, notamment grâce à des fonctionnalités de ciblage et de criblage. Puis, elle effectue des vérifications humaines et manuelles afin d’éviter que des décisions produisant des effets juridiques à l’égard de certains passagers ne soient prises sur le seul fondement d’un traitement automatisé de données destiné à définir le profil des intéressés", indique Shathil Nawaf Shathil.
Conservation des données pendant 5 ans
Les données sont conservées cinq ans à compter de leur réception dans le système. À l'expiration d'un délai de deux ans, les données susceptibles de révéler directement l'identité des passagers sont conservées mais ne peuvent plus être communiquées aux services demandeurs. Ce n'est que sur demande motivée et après autorisation expresse du directeur de l’UIP que les agents habilités peuvent en être destinataires.
Les citoyens français, et européens en général, disposent d’un droit d’accès et de rectification. Pour les données des dossiers passagers et les renseignements préalables sur les voyageurs, les droits d'accès et de rectification s'exercent directement auprès du directeur de l'Unité Information Passagers ou de son adjoint, qui sont basés à l’aéroport de Roissy-Charles de Gaulle.
Risques de fuite de données : le cas British Airways
Si les systèmes en place sont soigneusement étudiés, ils ne sont pas pour autant nécessairement infaillibles. La grande décision dans le domaine de la protection des données personnelles des passagers aériens concerne British Airways, qui a été condamnée à payer une amende de 20 millions de livres sterling pour manquements à la protection des données des passagers en 2018.
L'affaire concernait des données personnelles (noms et adresses), des données de paiement, ainsi que les détails des réservations, rappelle Shathil Nawaf Shathil. Plus de 400 000 clients de la compagnie britannique étaient concernés. L’enquête de l'Information Commissioner's Office, l'équivalent britannique de la Cnil, a conclu que les mesures de sécurité requises n'étaient pas en place à l'époque.
Air France, de son côté, précise par e-mail : "Toutes nos données sont hébergées sur des serveurs internes propres à Air France-KLM. Elles ne sont pas vendues à des tiers et leur utilisation est faite dans le but de personnaliser le voyage de nos clients, permettant ainsi de donner la bonne information, au bon client et au bon moment. La protection des données de nos clients est au cœur de nos priorités."
Sélectionné pour vous
Données des passagers aériens : qui les utilise et dans quel but ?
Tous les champs sont obligatoires
0Commentaire
Réagir