Mise en œuvre de la directive PNR à la lumière de l'arrêt C-817/19 de la CJUE : Nouvelles orientations du CEPD

Le Comité européen de la protection des données (CEPD) a publié le 14 mars 2025 une déclaration importante concernant la mise en œuvre de la directive PNR (Passenger Name Record) suite à l'arrêt C-817/19 de la Cour de justice de l'Union européenne (CJUE). Cette déclaration vise à harmoniser les pratiques des États membres et à garantir que le traitement des données PNR respecte pleinement les droits fondamentaux des citoyens européens.

Contexte réglementaire et juridique de la directive PNR

La directive PNR (2016/681) constitue un élément essentiel du cadre juridique européen en matière de sécurité et de lutte contre le terrorisme. Adoptée en 2016, elle oblige les compagnies aériennes à transmettre aux autorités nationales les données des dossiers passagers pour les vols à destination ou en provenance de l'Union européenne. Ces données comprennent des informations telles que les noms des passagers, les coordonnées, les itinéraires, les modes de paiement et les préférences alimentaires.

L'arrêt C-817/19 de la CJUE, rendu en 2022, a considérablement modifié l'interprétation et l'application de cette directive. La Cour a établi que le traitement systématique des données PNR pour tous les passagers constitue une ingérence dans les droits fondamentaux à la vie privée et à la protection des données. Par conséquent, elle a imposé des limitations strictes quant à l'utilisation de ces données, notamment en ce qui concerne leur conservation et leur traitement.

Principales orientations du CEPD pour une mise en œuvre conforme

Le CEPD, dans sa déclaration 2/2025, fournit des orientations précises aux États membres pour garantir que leur mise en œuvre de la directive PNR soit conforme à l'arrêt de la CJUE. Ces orientations portent sur plusieurs aspects cruciaux :

1. Limitation du champ d'application : Le CEPD souligne que le traitement des données PNR doit être limité aux vols en provenance ou à destination de pays tiers présentant un risque objectif lié au terrorisme ou à la criminalité grave. Le traitement systématique des données pour tous les vols intra-UE n'est pas conforme au principe de proportionnalité.

2. Évaluation des risques : Les États membres doivent établir des critères objectifs pour déterminer quels vols présentent un risque suffisant pour justifier le traitement des données PNR. Cette évaluation doit être régulièrement mise à jour et documentée.

3. Période de conservation : Conformément à l'arrêt de la CJUE, le CEPD précise que la période initiale de conservation des données PNR (six mois) ne peut être prolongée que pour les passagers présentant des indices objectifs de risque. La conservation prolongée (jusqu'à cinq ans) doit être justifiée au cas par cas.

4. Modèles prédictifs et critères préétablis : Le CEPD recommande que les critères d'évaluation utilisés pour analyser les données PNR soient non discriminatoires, spécifiques et fiables. Les modèles algorithmiques doivent être régulièrement évalués pour éviter les biais et les faux positifs.

5. Droits des personnes concernées : La déclaration rappelle l'importance de garantir aux passagers l'exercice effectif de leurs droits en vertu du RGPD, notamment le droit d'accès, de rectification et d'opposition.

6. Transferts internationaux : Le CEPD fournit des orientations sur les conditions dans lesquelles les données PNR peuvent être transférées à des pays tiers, en insistant sur la nécessité de garanties appropriées.

Implications pour les autorités nationales et les compagnies aériennes

La déclaration du CEPD a des implications significatives tant pour les autorités nationales chargées du traitement des données PNR que pour les compagnies aériennes qui les collectent :

Pour les autorités nationales, la déclaration implique :

- La nécessité de réviser leurs systèmes de traitement des données PNR pour s'assurer qu'ils sont conformes aux limitations imposées par la CJUE

- L'obligation de mettre en place des mécanismes de supervision et d'audit pour garantir que le traitement des données respecte les principes de nécessité et de proportionnalité

- La mise en œuvre de procédures transparentes pour l'évaluation des risques et la détermination des vols soumis au traitement PNR

Pour les compagnies aériennes, les implications comprennent :

- L'adaptation de leurs systèmes de transmission des données PNR pour se conformer aux exigences révisées

- La mise en place de procédures pour informer les passagers de leurs droits en matière de protection des données

- La coopération avec les autorités nationales pour garantir que seules les données nécessaires sont transmises

Analyse des défis de mise en conformité pour les États membres

La mise en œuvre des orientations du CEPD présente plusieurs défis pour les États membres :

1. Équilibre entre sécurité et protection des données : Les États membres doivent trouver un équilibre délicat entre leurs obligations en matière de sécurité nationale et le respect des droits fondamentaux des citoyens.

2. Harmonisation des pratiques : Malgré les orientations du CEPD, il existe un risque de divergence dans l'interprétation et l'application de la directive PNR entre les différents États membres, ce qui pourrait créer des incohérences dans le marché intérieur.

3. Coûts de mise en conformité : L'adaptation des systèmes existants pour se conformer aux nouvelles exigences peut entraîner des coûts significatifs pour les autorités nationales et les compagnies aériennes.

4. Complexité technique : La mise en œuvre de systèmes d'évaluation des risques conformes aux exigences de non-discrimination et d'objectivité nécessite une expertise technique considérable.

Perspectives d'évolution du cadre réglementaire PNR

La déclaration du CEPD s'inscrit dans un contexte d'évolution continue du cadre réglementaire relatif aux données PNR. Plusieurs développements sont à prévoir :

1. Révision de la directive PNR : La Commission européenne pourrait proposer une révision de la directive pour l'aligner pleinement sur la jurisprudence de la CJUE.

2. Développement de standards techniques : Des standards techniques communs pourraient être élaborés au niveau européen pour faciliter la mise en œuvre harmonisée des exigences.

3. Renforcement de la coopération internationale : Des accords internationaux sur le traitement des données PNR pourraient être négociés pour garantir un niveau élevé de protection des données tout en permettant une coopération efficace en matière de sécurité.

4. Intégration avec d'autres systèmes de sécurité : L'intégration du système PNR avec d'autres systèmes d'information de l'UE, tels que le système d'information Schengen (SIS) ou le système d'entrée/sortie (EES), pourrait être envisagée pour améliorer l'efficacité tout en minimisant le traitement des données.

Impact sur les programmes de conformité des entreprises du secteur aérien

Les compagnies aériennes et autres acteurs du secteur aérien doivent adapter leurs programmes de conformité pour tenir compte des nouvelles exigences :

1. Révision des politiques de protection des données : Les entreprises doivent mettre à jour leurs politiques pour refléter les limitations imposées par la CJUE et les orientations du CEPD.

2. Formation du personnel : Le personnel impliqué dans la collecte et le traitement des données PNR doit être formé aux nouvelles exigences.

3. Audit des systèmes : Des audits réguliers des systèmes de traitement des données PNR doivent être effectués pour garantir leur conformité.

4. Communication avec les passagers : Les entreprises doivent améliorer leur communication avec les passagers concernant le traitement de leurs données PNR et leurs droits en la matière.

Recommandations pratiques pour les responsables de la conformité

Pour les responsables de la conformité dans les organisations concernées par le traitement des données PNR, plusieurs actions sont recommandées :

1. Analyse d'impact : Réaliser une analyse d'impact relative à la protection des données (AIPD) spécifique au traitement des données PNR à la lumière des nouvelles orientations.

2. Cartographie des flux de données : Établir une cartographie précise des flux de données PNR au sein de l'organisation pour identifier les points de non-conformité potentiels.

3. Collaboration avec les autorités : Établir un dialogue constructif avec les autorités nationales de protection des données et les unités d'information passagers (UIP) pour clarifier les attentes et les exigences.

4. Documentation : Maintenir une documentation complète des mesures prises pour se conformer aux exigences, y compris les évaluations de risques et les justifications des périodes de conservation prolongées.

5. Veille juridique : Mettre en place un système de veille juridique pour suivre l'évolution de la jurisprudence et des orientations réglementaires concernant les données PNR.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Réalisez un audit complet de votre traitement actuel des données PNR pour identifier les écarts par rapport aux nouvelles exigences du CEPD et de la jurisprudence de la CJUE.

• Mettez en place un système d'évaluation des risques documenté et objectif pour déterminer quels vols justifient le traitement des données PNR, en vous assurant que les critères utilisés sont non discriminatoires et régulièrement révisés.

• Implémentez un mécanisme de gestion différenciée des périodes de conservation, avec une justification documentée pour chaque prolongation au-delà de la période initiale de six mois.

• Développez une procédure claire pour l'exercice des droits des personnes concernées, incluant des délais de réponse stricts et des canaux de communication accessibles.

• Établissez un programme de formation continue pour tous les collaborateurs impliqués dans le traitement des données PNR, en mettant l'accent sur les nouvelles limitations et garanties requises par la jurisprudence récente.