Transfert aux USA de données personnelles contenues dans les dossiers passagers (PNR)
Modèle de lettre à l'autorité de protection des données concernée
(France : Commission nationale de l'informatique et des libertés,
Belgique : Commission de la protection de la vie privée)<copiez-collez ce texte avec votre éditeur de texte favori, remplacez les champs entre chevrons (<>) par les informations vous concernant, supprimez les chevrons, puis imprimez et postez la lettre>
<Nom et adresse du président de l'autorité nationale de protection des données>
<Voir pour chaque pays : http://europa.eu.int/comm/internal_market/privacy/links_fr.htm><Pour la France :
Monsieur Michel Gentot
Président
Commission Nationale de l'Informatique et des Libertés
21 rue Saint Guillaume
75340 PARIS CEDEX 7><Pour la Belgique :
Monsieur Paul Thomas
Président
Commission de la protection de la vie privée
Boulevard de Waterloo, 115
1000 BRUXELLES><lieu et date>
Objet : Plainte concernant le transfert aux États-Unis de dossier passager (Passenger Name Record ou PNR)
Monsieur le Président,
Le <date du voyage aux USA>, j'ai voyagé vers les États-Unis avec la compagnie <nom de la compagnie aérienne> sur le vol <numéro du vol> avec le numéro de billet <numéro du billet>. J'ai appris récemment par la presse que les compagnies aériennes européennes divulguent les dossiers passagers (Passenger Name Record ou PNR) aux autorités américaines sans obtenir préalablement le consentement explicite des passagers, et se trouveraient de ce fait en infraction à la Directive européenne 95/46/CE.
Ces dossiers passagers incluent des informations telles que nom, adresse, numéro de téléphone, date de naissance, numéro de carte bancaire des passagers, ainsi que les prestations spéciales requises à bord, comme le choix des repas. La compagnie <nom de la compagnie> ne m'a pas demandé mon consentement pour la divulgation de ces données, et ne m'a pas informé<e> que ces données personnelles me concernant seraient divulguées aux autorités américaines.
Je comprends évidemment que les autorités américaines collectent des données telles que mon nom, étant entendu que cela est probablement nécessaire aux agences des douanes et de l'immigration pour raisons de sécurité. Pour autant, il m'est difficile de comprendre en quoi des données telles que le numéro de la carte bancaire ayant servi à régler le prix de mon billet ou ma demande de repas spécial sont nécessaires aux autorités américaines. Il m'est tout aussi difficile de comprendre pourquoi ces informations ont été transférées sans que j'en ai connaissance et sans consentement de ma part.
Je conteste le transfert du dossier passager, et je pense que ce transfert est dénué de fondement légal et qu'il viole la principale disposition de la Directive européenne sur la protection des données. La déclaration conjointe de la Commission européenne et de l'administration des douanes américaines sur le transfert de dossiers passagers (17 mars 2003) mentionne que ces données peuvent être utilisées pour "l'application de la loi" et qu'elles peuvent être conservées aussi longtemps qu'il sera "nécessaire pour satisfaire l'objectif pour lequel elles ont été conservées". Ces définitions n'assurent pas la protection requise par la Directive européenne 95/46/CE sur la protection des données pour le transfert de données personnelles à des pays tiers.
Je conteste également le caractère non spécifique du transfert de données. Selon la législation européenne et la Convention européenne des droits de l'homme, les données collectées par des sociétés privées pour des objectifs commerciaux ne peuvent pas être utilisées pour des objectifs de respect de la loi sans décision judiciaire fondée sur la démonstration d'une nécessité avérée, et ces données collectées doivent spécifiquement concerner un passager.
Conformément à la législation européenne en matière de protection de la vie privée, le transfert de données personnelles à des pays tiers ne présentant pas un niveau adéquat de protection est interdit, sauf consentement individuel de la personne concernée. La plupart des passagers réservant un voyage vers les États-Unis ne sont même pas informés de ce que leurs données sont directement fournies aux autorités américaines. Les voyageurs européens n'ont par conséquent aucune possibilité de s'opposer au transfert de données.
J'ai écrit à la compagnie <nom de la compagnie aérienne>, pour connaître le contenu de mon dossier passager et savoir quelles informations ont été transférées aux autorités américaines.
Je vous demanderais également d'enquêter sur les activités de traitement de données de la compagnie <nom de la compagnie aérienne> et de déterminer si le transfert de mes données personnelles est en conformité avec la législation sur la protection des données, en particulier avec l'article 25 de la Directive européenne 95/46/CE et avec les dispositions applicables de la législation nationale.
<Ajoutez ici le cas échéant toute information sur un incident quelconque survenu aux aéroports, de départ ou d'arrivée, susceptible de montrer que vous avez été illégitimement arrêté, fouillé ou retardé au-delà du raisonnable, pour des raisons qui vous paraissent injustifiées ou illégales>
Dans l'attente de votre réponse, je vous prie d'agréer, Monsieur le Président, l'expression de ma considération.
<Prénom Nom, adresse et signature>