Le ministre de l'Intérieur Bernard Cazeneuve a annoncé, à la suite des attentats de Bruxelles ce mardi 22 mars, vouloir accélérer la mise en place du PNR, évoquant «l'urgence d'inscrire le PNR européen à l'ordre du jour des débats du Parlement» selon iTélé. Nous republions un article qui explique ce dont il s'agit.
PNR: Passenger Name Record. Un acronyme parmi d’autres. Pourtant, ces trois lettres ont fait leur retour sur le devant de la scène européenne ces derniers jours.
En réunion à Paris le 11 janvier 2015, à la suite des attaques meurtrières de la semaine précédente, les ministres de l’Intérieur européens ont rappelé leur attachement au projet de Passenger Name Record européen, dont l’avancement serait un enjeu «crucial» pour la lutte contre le terrorisme. Idem pour plusieurs de leurs homologues des Affaires étrangères le 19 janvier, dont Laurent Fabius. François Hollande comme Manuel Valls ont souligné l’importance d’un tel projet. Jean-Claude Juncker, le président de la Commission, a associé sa voix à celle de l’exécutif français, ainsi que Donald Tusk, le président du Conseil de l’Union européenne.
Le PNR, c’est l’ensemble des données collectées par les compagnies aériennes lors de la réservation d’un vol ou de l’enregistrement. Le projet de directive européenne vise à permettre d'harmoniser la récolte de ces données, qui seraient accessibles aux Etats à des fins de prévention et de détection de «crimes graves» ou d’actes terroristes.
En proclamant unanimement le besoin d’une directive PNR, les gouvernements européens et l’exécutif bruxellois tournent leur regard avec insistance vers le Parlement européen. Car le projet, proposé en 2011 par la Commission européenne, a été rejeté par la commission Libertés civiles, justice et affaires intérieures (Libe) du Parlement en avril 2013, grâce à une alliance entre la gauche et les libéraux de l'Alliance des démocrates et libéraux pour l’Europe, où siègent aujourd'hui les eurodéputés UDI et MoDem. Ces députés n'avaient pas souhaité donner un blanc-seing à la Commission ni aux Etats membres concernant la récolte et l’épluchage d’une quantité massives de données personnelles. Le texte n’a pourtant pas été enterré: en session plénière, le Parlement l’a renvoyé en commission Libe. Depuis lors, le dossier est en suspens.
Des données médicales au régime alimentaire
Si ce type de texte fait tant de vagues, c’est qu’il se situe au point d’équilibre entre mesures sécuritaires et empiètement sur les droits fondamentaux, à commencer par le droit à la vie privée et à la protection des données personnelles. Dans un PNR, on trouve la place occupée dans l’avion, tout comme le mode de paiement choisi, le poids des bagages, la durée du séjour, parfois le nom de l’hôtel ou le nom des personnes avec qui l’on voyage. Dans certains cas, des données médicales peuvent y figurer («voyage en chaise roulante») ou des informations relatives au régime alimentaire du voyageur (le fait de manger casher, halal, végétarien...). Enfin, les compagnies peuvent aussi assortir le PNR de commentaires libres concernant le voyageur.
Dès 2003, les débats ont été épiques entre la Commission européenne, le Conseil de l’Union européenne (les représentants des Etats) et le Parlement. A l’époque, les instances européennes négociaient, sur demande américaine, la création d’un PNR entre l’Union européenne et les États-Unis dans le but d’analyser les données de toute personne voyageant entre les deux continents. Malgré de nombreuses passes d’armes et des résolutions (non contraignantes) de la commission Libe, un PNR transatlantique fut adopté en 2007, avant qu’un nouveau texte soit voté par le Parlement européen en 2012.
C’est en effet aux Etats-Unis que l’on a créé le PNR, à la suite des attentats du 11-Septembre. L’objectif des autorités américaines était d’analyser les données incluses dans ces registres commerciaux pour détecter des profils susceptibles de commettre des crimes graves. Sur la base de ce profilage, les autorités appréhendent la personne pour conduire des entretiens approfondis. Toutes les données recoupées (avec d’autres bases de données) sont censées fournir des indications intéressantes sur les motivations réelles d’un voyageur, à commencer par son itinéraire exact. Exemple (un peu caricatural, mais l’idée est là): un homme paye en liquide ses voyages réguliers en Colombie, qu’il effectue en trois escales. Il ne part jamais plus de trois jours et transporte des valises lourdes. C’est suspect. On l’appréhende.
Concrètement, ce système pose de nombreux problèmes. La récolte de données n’est pas harmonisée entre les compagnies, et ces données ne sont pas officielles. Elles comportent parfois des éléments qui ne sont pas exacts.
Cela n’a pas empêché les Etats de l’Union européenne de s’intéresser de près au PNR. Le Royaume-Uni a instauré son propre système en 2008. Aujourd’hui, la Commission européenne participe au financement de 14 PNR nationaux, dont le français, qui devrait être opérationnel en septembre 2015.
«Ingérence très importante dans les droits fondamentaux»
Pour ses partisans, l’adoption d’une directive européenne permettrait de créer un cadre harmonisé pour la récolte de ces données et donc d’être plus efficace dans la lutte contre le terrorisme. Mais cela pose bien sûr une question de fond, celle de la protection de la vie privée et des données personnelles, toutes deux figurant dans la charte des droits fondamentaux de l’Union européenne.
Un enjeu essentiel que résume Mario Oetheimer, qui suit ce dossier de près pour l’agence des droits fondamentaux de l’Union européenne:
«Un règlement comme le PNR est une ingérence très importante dans les droits fondamentaux. La question qui se pose est très simple: a-t-on besoin d’une collecte de données aussi importante pour lutter contre le terrorisme?»
Une question qui est essentielle pour Emilio De Capitani, directeur exécutif du Think-tank Fundamental Rights European Expert group (Free) et surtout ancien secrétaire de la Commission Libe au Parlement européen:
«Ce qui est clair, c’est que la collecte indiscriminée de données est une forme de surveillance généralisée. Ce qui peut être possible mais dans de rares conditions et avec des contrôles. Dans une démocratie, ce sont les citoyens qui contrôlent les institutions et non l’inverse.»
«On donne l’impression qu’on aurait pu éviter les attentats grâce à cela»
Cette collecte massive de données est-elle nécessaire, efficace, proportionnée? Pour Sophie In’t Veld, eurodéputée néerlandaise et vice-présidente du groupe libéral, la commission doit répondre très précisément à ces questions avant que son groupe ne donne son aval à une directive créant un PNR intra-européen. Elle trouverait tout à fait «illogique», explique-t-elle, que le Parlement soit à nouveau sollicité pour voter sur un texte identique à celui rejeté en 2013:
«Je trouve de mauvais goût que le conseil des ministres se soit saisi de l’occasion de ces évènements tragiques pour pousser un PNR européen. On donne l’impression qu’on aurait pu éviter les attentats grâce à cela. C’est un mensonge!»
Sophie In’t veld prévoit que la directive sur le PNR, si elle était adoptée en son état actuel, pourrait subir le même sort que celle sur la conservation des données, invalidée par la Cour de justice de l’Union européenne en avril 2014. Le but de cette directive était d’harmoniser la collecte de données récoltées par les Etats membres de l’Union européenne auprès d’opérateurs de télécommunication, et la Cour l'avait invalidée parce qu’elle constituait une «ingérence d’une vaste ampleur et d’une gravité particulière» dans la vie privée. «Pourquoi les Etats ignorent cet arrêt?, s’exclame l'eurodéputée. La directive sur la conservation des données avait été adoptée en 2005 dans des circonstances assez similaires au contexte actuel, après les attentats de Londres et de Madrid. Nous disions alors que cela ne respectait pas les normes en vigueur. La Cour l’a confirmé. Pourquoi ne pas apprendre de ces expériences?»
Un autre groupe de textes bloqué
Sophie In’t Veld lie l’avenir du PNR européen à un autre groupe de textes bloqués, ceux qui concernent la protection des données. En 2012, la Commission européenne avait lancé une vaste réforme du cadre juridique sur ce sujet au sein de l’Union européenne en proposant deux textes, l’un sur la protection des personnes physiques à l’égard du traitement de données, l'autre sur le même thème, mais dans le cadre plus précis des infractions pénales, des enquêtes ou des poursuites judiciaires.
Cette fois-ci, c’est au niveau du Conseil de l’Union européenne que cela bloque. Pour Sophie In’t Veld, avant d’adopter une directive qui autorise une vaste récolte de données, pourquoi ne pas adopter en premier lieu les règles permettant de la cadrer?
«La directive sur la protection des données c’est un socle pour toute mesure dans la coopération judiciaire et policière. Dans un Etat de droit on ne crée pas de pouvoirs pour les autorités sans limite. Cette directive, c’est la limite.»
Un lien entre deux textes que fait aussi l'eurodéputée socialiste français Sylvie Guillaume: «On dit souvent que le Parlement européen bloque le PNR. Quant au conseil des ministres, il bloque la directive sur la protection des données. Alors, on devrait pouvoir s’entendre et faire progresser les choses.» Du donnant-donnant, du compromis entre institutions, car les deux députées ne se disent pas du tout opposées au PNR européen, mais appellent de leurs vœux l’instauration de «garde-fous», de garanties et de limites à l’ingérence dans la vie privée.
De plus, certains dénoncent les termes flous qui jalonnent la directive créant un PNR européen: la commission estime que le PNR permettra de lutter contre des «crimes graves», sans vraiment préciser de quoi il est question. D’autres soulignent encore que la conservation d’autant de données pour 5 ans (même si elles seraient anonymisées 30 jours après le vol) ne se justifie pas.
L'eurodéputé UMP Arnaud Danjean peut comprendre ces débats techniques autour des garde-fous. Mais ce qui le rebute, c’est le «lien rigide» établi par les libéraux ou les socialistes entre le texte concernant la protection des données et celui sur le PNR:
«Au lieu de mettre à profit les trois années de discussions autour de la durée de conservation des données, des possibilités de consulter son dossier ou des possibilités de recours, certains conditionnent leur vote en faveur du PNR à l’adoption d’une autre directive qui prendra des années à être adoptée.»
Une évaluation compliquée
Finalement, le PNR est-il un outil efficace pour prévenir les actes de terrorisme? Pas évident de se raccrocher à des études concrètes ou des rapports sérieux. Dans un rapport d’information de l’Assemblée nationale, l’expérience du Royaume-Uni est jugée «positive»: «Plusieurs exemples d’arrestations de terroristes et de trafiquants d’êtres humains grâce aux données PNR ont été fournis par les autorités britanniques.» Une évaluation qui semble peu précise, sauf concernant l’arrestation de trafiquants de drogues, où des données chiffrées sont fournies. Idem concernant le PNR Etats-Unis-Europe: on trouve bien peu de choses dans les rapports d’évaluation disponibles au public. «Il est difficile d’avoir une évaluation précise des résultats du PNR en matière de terrorisme car on se situe dans le domaine du renseignement, concède Arnaud Danjean. Il est forcément plus difficile d’avoir des évaluations chiffrées et statistiques.»
Pour l'eurodéputé UMP, cela n’enlève rien à l’intérêt d’un PNR qui, certes, n’agirait pas comme une «baguette magique» contre le terrorisme, mais offrirait une «traçabilité importante» sur les déplacements des terroristes. A condition d’harmoniser le système:
«Tous les ministres européens et tous les services de renseignement en sont convaincus, le PNR européen serait utile. Car aujourd’hui c’est le plus grand désordre. Des PNR nationaux vont se multiplier, il existe un accord PNR avec les Etats-Unis. Il existe beaucoup de systèmes différents au sein desquels on pourrait trouver beaucoup d’informations utiles.»
D’autres remettent en doute l’efficacité de cet outil. Emilio De Capitani est sévère au sujet du PNR:
«Lorsqu’on demande de nous montrer si cela fonctionne pour empêcher des actes terroriste, on ne nous répond pas. Alors pourquoi vivre dans une société ou toutes les personnes sont contrôlées alors que les terroristes passent s’ils le souhaitent?»
Pour le vieux routier de la Commission Libé, la priorité devrait justement être de se focaliser sur les terroristes:
«Au lieu de nous casser les pieds avec le PNR, pourquoi ne pas forcer les Etats à partager leurs informations avec Europol. Plutôt que se focaliser sur des données civiles, ne devrait-on pas commencer par les données policières?»
