I - Deux années d'une bataille juridique ininterrompue

1 - Chronologie des négociations

a - les mesures américaines

Deux mois après les attentats du 11 septembre, le 19 novembre 2001, les Etats-Unis votent la loi dite « Aviation and Transportation Security Act ». Ce texte fait obligation aux compagnies aériennes opérant aux Etats-Unis de fournir aux services douaniers fédéraux américains une liste de données relatives aux passagers transportés et aux membres d'équipage. Les informations qu'elles doivent communiquer sont celles, au nombre de 39, contenues dans le fichier de réservation informatisé appelé PNR (Passenger Name Record) ainsi que quatre autres données hors PNR.

Au total, ce sont donc 43 informations que réclament dès novembre 2001 les services douaniers américains [3].

Quelques mois plus tard, les Etats-Unis adoptent un deuxième texte visant à améliorer la sécurité aux frontières. Il s'agit d'une loi du 14 mai 2002 [4] imposant une communication des mêmes données, cette fois aux services fédéraux américains de l'immigration.

Un système [5] conjointement exploité par les douanes et les services d'immigration est le destinataire des données personnelles recueillies. Le cheminement de ces dernières ne s'arrête pas là à partir du moment où certaines d'entre elles peuvent être partagées, en principe au cas par cas, avec d'autres autorités fédérales et ne bénéficient plus, dès lors, d'aucune protection.

Initialement, les données fournies par les compagnies aériennes européennes devaient s'insérer dans une vaste base de données américaine dénommée CAPPS II [6]. Elles devaient y rejoindre celles obtenues auprès d'autres Etats, de façon à recueillir une masse d'informations sur les passagers aériens. Au fil des négociations, les Européens ont finalement obtenu que l'accord conclu avec les Etats-Unis soit désolidarisé du système à mettre en place autour de CAPPS II, ce dernier devant faire l'objet de discussions ultérieures. Pour rappel, CAPPS II doit aboutir, lorsqu'il entrera en vigueur, à l'attribution à chaque passager d'un code de couleur correspondant à son niveau estimé de dangerosité [7].

Rappelons aussi qu'en l'état actuel du dossier, s'il est toujours théoriquement programmé pour 2004, le projet CAPPS II n'a toujours pas été agréé par le Congrès américain. Ses crédits demeurent du même coup suspendus à un vote qui se fait attendre.

b - la réaction européenne

Face à ce nouveau contexte sécuritaire, la Commission, consciente de l'atteinte portée à l'ordre juridique européen, a tout d'abord négocié un premier accord sur la base des demandes formulées par les Américains. Les 17 et 18 février 2003, les discussions ont abouti à une déclaration commune.

Dès lors, le 5 mars 2003, le commissaire chargé du Marché intérieur, Fritz Bolkenstein prenait une décision, sur la base du pouvoir que la directive de 1995 lui confère à cet égard : il autorisait les compagnies aériennes à donner suite aux demandes de communication des données personnelles des autorités américaines.

A la suite de ce feu vert communautaire, Air France, Lufthansa, British Airways et Iberia ont d'emblée obtempéré, redoutant les sanctions pécuniaires que le gouvernement des Etats-Unis menaçait d'appliquer. Ce faisant, elles ont donné libre accès à leur système de réservation électronique commun, géré par une entreprise de services madrilène, nommée Amadeus. Cette société [8] gère depuis l'Espagne l'un des principaux systèmes informatiques de réservation [9] de billets d'avion dans le monde.

Face à l'émoi provoqué par la décision du 5 mars, la Commission a pris conscience de la nécessité de poser des garde-fous à la transmission des données personnelle, après l'avoir autorisée sans entraves.

2 - Problèmes juridiques soulevés

Pour l'Europe, il s'agissait d'apporter une réponse juridique et technique unique à l'ensemble des demandes émanant d'Etats tiers, raison pour laquelle la discussion revêtait une grande importance au-delà du contentieux euro-américain. En effet, l'accord définitif finalement conclu le 16 décembre 2003 doit servir de précédent pour d'autres négociations bilatérales, en cours ou à venir, en particulier celles avec le Canada et l'Australie. La négociation a porté sur trois difficultés majeures.

a - La durée de conservation des informations recueillies :

Elle est envisagée différemment par les deux parties : les Américains ont commencé par adopter une position maximaliste, prônant un laps de temps de cinquante ans avant de rapidement accepter la réduction du délai à sept ans. Finalement, la durée de conservation retenue est de trois ans et demi. Une telle base est très loin de satisfaire les députés européens, lesquels avaient fait savoir que les Etats-Unis n'ont pas à conserver de telles informations au-delà du séjour des personnes concernées sur le sol américain.

b - Le respect du principe de finalité, qui impose une limitation du nombre des informations transmises :

Après avoir entamé les discussions autour des nécessités de la lutte contre le terrorisme, les Etats-Unis ont rapidement souhaité élargir le champ des données transmises, en vue de lutter contre d'autres formes de criminalité : les stupéfiants, « qui ont un lien historique avec le terrorisme », les crimes financiers et le blanchiment d'argent qui est un « levier important du terrorisme ».

Les Américains estiment qu'il existera toujours des « zones d'ombre » dans la manière de définir correctement le terrorisme et les infractions en relation avec la sécurité aérienne [10]. Cette position les a conduit à vouloir utiliser les informations transmises pour tous les délits punis d'au moins quatre ans d'emprisonnement.

Au final, les Européens ont accepté dans l'accord conclu le 16 décembre 2003 que les informations fournies puissent être utilisées pour lutter contre le terrorisme, les activités criminelles reliées au terrorisme et « d'autres crimes graves, y compris la criminalité organisée à caractère transnational ».

Cette définition sonne comme un défi lancé au principe légaliste, lequel suppose une définition précise des infractions considérées.

c - La protection des données sensibles :

Elle fait l'objet de préoccupations majeures du point de vue européen. Juridiquement [11], les données sensibles sont celles en relation avec les origines raciales, les mœurs, les croyances religieuses, les opinions politiques ou philosophiques et les appartenances syndicales.

Le droit européen [12] a ajouté à cette liste les origines ethniques et la santé [13]. L'important, s'agissant de ces informations, est de savoir qu'elles bénéficient d'une protection juridique renforcée. Or, certaines des données transmises depuis mars 2003 aux Etats-Unis par les compagnies aériennes appartiennent à cette catégorie.

En effet, si les Américains ont semblé faire des concessions en ne réclamant plus au final que 34 des 39 données du PNR qu'ils souhaitaient obtenir initialement, on se rend compte que la totalité des informations sensibles y demeurent en fait incluses.

Ainsi, parmi les données du PNR figure un sigle obscur appelé SSR, pour Special Service Request. Concrètement, sont recensées à ce titre des informations en relation avec des demandes particulières émanant de passagers : plat spécial, service lié à l'état de santé du voyageur, à un handicap physique éventuel, présence d'un animal en cabine… Il est clair que ce champ d'information est susceptible, outre la mise en fiche de l'état de santé de la personne, de traduire, par la consommation d'un certain type de nourriture, une croyance religieuse ou une opinion philosophique.

d - L'absence d'autorité indépendante

Les Etats-Unis ne disposent pas, à la différence de l'Europe mais aussi de leur voisin canadien, d'un organisme indépendant du type de la Commission Nationale Informatique et Libertés (CNIL), voué à assurer le respect des droits conférés aux citoyens.

Les négociateurs américains ont bien insisté sur l'existence d'un « Monsieur vie privée » [14]. Le seul souci est que cet interlocuteur dépend du Département de la sécurité intérieure. La bonne foi présumée du titulaire actuel de ce poste sensible ne peut en aucun cas apparaître comme une garantie juridique suffisante.

3 - Les solutions envisageables d'un point de vue technique

Les Américains eux-mêmes reconnaissent aujourd'hui qu'ils n'ont pas besoin de toutes les informations auxquelles la société de réservation Amadeus leur donne accès.

Car schématiquement, les Etats-Unis obtiennent depuis dix mois l'accès direct au système informatique européen, solution peu coûteuse pour les compagnies aériennes. Il serait pourtant envisageable, moyennant des efforts financiers un peu plus importants, de créer une sorte de sas ou de filtre.

Pour résoudre cette question, Arnaud Camus, en charge de ce dossier au sein du Groupe Air France, évoque l'idée d'une entité publique européenne chargée de centraliser les informations contenues dans le système de réservation puis d'effectuer un tri afin de ne communiquer aux autorités américaines que celles retenues aux termes de l'accord à conclure entre les gouvernements. Bien entendu le caractère public de cette structure permettrait de déplacer le coût de l'opération de transfert des compagnies aériennes vers les gouvernements.

En clair, ce serait le contribuable européen qui financerait le système de transmission des données personnelles voulu par les Etats-Unis.

I - La sécurité aérienne vue des coulisses : questions politiques

1 - La transmission des données favorise-t-elle réellement la sécurité aérienne ?

Le Chicago Tribune remarquait justement, au lendemain du 11 septembre : « L'expérience de la compagnie israélienne El Al nous montre que la sécurité ne dépend pas essentiellement de systèmes électroniques sophistiqués mais avant tout d'une scrupuleuse vigilance humaine ».

On constate que sur deux points majeurs - la sécurité physique et la création d'une police de l'air - le gouvernement américain se trouve être en retrait, de façon paradoxale et en décalage total avec un discours officiel musclé.

a - La sécurité physique, le parent pauvre

On ne peut qu'être troublé par certaines décisions d'ordre financier en relation avec la sécurité aérienne. Il semble que tous les esprits n'aient pas encore pris la mesure des problèmes que pose la piraterie aérienne, terme qui apparaît aujourd'hui comme un doux euphémisme à l'aune des situations brutales auxquelles il renvoie désormais.

En témoigne ce texte présenté à la Conférence mondiale sur le transport aérien [15] qui s'est tenue à Montréal du 24 au 29 mars 2003, à l'initiative de l'Organisation de l'Aviation Civile Internationale (OACI). Les points 2-3 et 2-4 consacrés à la sécurité et à la sûreté sont éloquents : « Les mesures de sécurité et de sûreté devraient être mises en œuvre de façon rationnelle sur le plan des coûts pour éviter d'imposer un fardeau excessif à l'aviation civile ». Le point suivant relève d'une veine comparable: « Dans la mesure du possible, les mesures de sûreté ne devraient pas perturber ni gêner le flux des passagers, des marchandises, de la poste ou des aéronefs ».

Pour leur part, des responsables américains disent à demi-mot le peu d'intérêt qu'ils accordent à la sécurité physique, lorsqu'ils déclarent, pendant les négociations menées avec l'Europe, que "CAPPS II a été conçu pour diminuer le nombre de personnes devant faire l'objet de contrôle plus poussés". [16]

En clair, pour des raisons d'économie même si les autorités se gardent bien de le présenter ainsi, le contrôle physique des passagers et de leurs bagages avant l'embarquement a vocation à être allégé. La plupart des passagers qui manquent de confiance vis-à-vis du transport aérien seront sans aucun doute ravis d'apprendre que, moyennant une inutile intrusion dans leur vie privée, les contrôles de sécurité à l'embarquement, gages de sûreté s'il en est, pourraient en revanche être assouplis.

b - La création d'une police du ciel n'est pas à l'ordre du jour

Toujours pour des raisons d'économie, les Etats-Unis ont songé à armer les pilotes et à les former en ce sens, plutôt que de recourir à des agents de sécurité.

Cette méthode est pourtant employée avec succès [17] par la compagnie israélienne El Al depuis plus de trente ans : des policiers en civil sont présents sur chacun des vols assurés par la compagnie. Bien entendu le coût d'une telle mesure est important, mais son efficacité a poussé d'autres compagnies à procéder de même [18].

Rappelons qu'El Al applique aussi depuis longtemps une autre politique : une enquête de moralité sur les passagers, destinée à cerner la finalité de leur voyage, ainsi qu'à connaître, entre autres, leur passé ou leur profession. La compagnie israélienne interroge également, pour chaque passager, le fichier Interpol.

La réalisation d'une telle enquête et la présence, à bord de chaque aéronef affrété par la compagnie, d'agents de police, se situent dans un registre sécuritaire adapté et pour l'essentiel conforme au but recherché. C'est à l'aune de cette expérience que, par contraste, la méthode américaine s'apparente bien plus à une méthode de fichage commercial, voire d'espionnage latent. La conservation, pendant plusieurs années, d'informations concernant des citoyens dont il est avéré, le vol une fois effectué, qu'ils n'ont rien à voir, de près ou de loin, avec le terrorisme le montre assez.

2 - A qui profitent ces informations ?

La Commission européenne a adopté en juillet 2003 un document de synthèse [19], dans lequel il est dit que les menaces en termes d'atteinte à la vie privée se rencontrent de plus en plus dans les relations entreprises/consommateurs, alors que la protection des données personnelles est calquée sur les relations Etat/citoyen.

Les informations personnelles sont de plus en plus captées par les entreprises quand elles ne font pas l'objet d'un va-et-vient entre ces dernières et les services de l'Etat. La démarche américaine en termes d'intelligence économique crée ainsi une grande synergie entre public et privé, le partage des informations y étant bien établi.

Dès lors, si certaines autorités publiques sont les destinataires officielles d'un flux transatlantique d'informations personnelles, peut-on être vraiment certain de l'étanchéité du système ?

Si l'intelligence économique a permis la mise en place d'une sorte de passerelle entre un certain nombre de services étatiques et des firmes toujours plus avides d'informations commercialement exploitables, les autorités européennes ne font-elles pas preuve d'une naïveté excessive ?

Les voyageurs d'un instant sont avant tout des citoyens et consommateurs dont la vie et les habitudes de consommation - pensons simplement aux informations contenues dans la puce d'une carte de paiement - se retrouvent entre les mains de services étrangers qui peuvent s'en servir à bon ou à mauvais escient [20].

Ainsi, l'affaire Choice Point [21]nous a appris qu'une firme américaine a obtenu, dans des conditions troubles, plusieurs millions d'informations personnelles nominatives, telles que permis de conduire, passeport, carte d'électeur voire coordonnées de comptes bancaires ou encours d'emprunt, relatives à des citoyens latino-américains [22]. Choice Point a ensuite revendu les fichiers obtenus au Service de l'immigration américain et au Département de la Justice si on voulait illustrer la perméabilité qui existe sur le sol américain entre les services étatiques ou fédéraux et certaines firmes, on trouverait difficilement meilleure illustration.

Conclusion

La création d'une « police de l'air », caractérisée par la présence d'agents de sécurité en civil dans les avions de ligne, ainsi que l'amélioration du contrôle physique de l'accès aux appareils constituent sans doute la meilleure des réponses à apporter au défi que pose le terrorisme sous sa forme la plus spectaculaire : la piraterie aérienne.

Bien entendu ces dispositifs ont un coût, cependant relatif en comparaison avec les colossaux investissements américains en matière de défense.

Mais quel Etat osera dire ouvertement à ses citoyens qu'il n'est pas prêt à consacrer des fonds nécessaires à leur sécurité ? Il est plus que jamais indispensable de repenser la sécurité aérienne autrement que par le biais d'un dispositif électronique dont on ne perçoit que très bien les risques de détournement. La création d'une base de données sur l'évolution du régime végétarien et sur le non moins indispensable profil de ses adeptes est une chose. La sécurité du transport aérien dans le monde en est une autre.

Annexe

Liste des 39 informations contenues dans le PNR obtenues par les autorités américaines auprès des compagnies aériennes européennes depuis mars 2003