Sur la proposition de M. Sébastien Huyghe, commissaire, et après avoir entendu les observations de M. Jean-Alexandre Silvy, commissaire du Gouvernement ;
Emet l'avis suivant :
La Commission a été saisie par le ministère de l'intérieur d'une demande d'avis concernant un projet de décret portant application de l'article L. 232-4 du code de la sécurité intérieure (CSI) et fixant les modalités de transmission au ministère de l'intérieur des données relatives aux passagers par les transporteurs aériens.
En application des articles L. 232-1 et suivants du CSI, les transporteurs aériens sont tenus de recueillir et de transmettre aux services du ministère de l'intérieur, aux fins de lutte contre l'immigration illégale et le terrorisme, les données relatives aux passagers aériens enregistrées dans leurs systèmes de réservation et de contrôle des départs. L'article L. 232-4 du CSI prévoit qu'un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe les modalités de ces transmission des données.
Ces modalités, notamment techniques, ont ainsi été ainsi fixées par le décret n° 2006-1630 du 19 décembre 2006 pris pour l'application de l'article 7 de la loi n° 2006-64 du 23 janvier 2006. Du fait de la mise en oeuvre du traitement SETRADER, qui permet l'emploi de nouvelles normes techniques de transmission, le ministère de l'intérieur projette de modifier ces dispositions. Les nouvelles modalités de transmission de ces données doivent donc faire l'objet d'un décret en Conseil d'Etat pris après l'avis motivé et publié de la Commission, conformément aux dispositions combinées du CSI et de l'article 26 de la loi du 6 janvier 1978 modifiée.
Rappel sur le traitement SETRADER :
Le traitement SETRADER a été autorisé par arrêté du 11 avril 2013, pris après l'avis de la Commission en date du 17 janvier 2013. Créé en remplacement du Fichier des passagers aériens, ce traitement doit permettre de disposer d'un outil de traitement des données dites API (« Advanced Passenger Information ») plus fiable et opérationnel, et capable de traiter un volume de données plus important. En outre, ce traitement a vocation à devenir, à terme, la plate-forme française de traitement des données de réservation des voyageurs détenues par les transporteurs (données dites PNR pour « Passenger Name Record », plus nombreuses et complètes que les données API) dans le cadre de la mise en œuvre d'un système PNR européen basé sur la proposition de directive de la Commission européenne du 2 février 2011.
Conformément aux dispositions précitées du CSI, ce traitement a pour finalités d'améliorer le contrôle aux frontières, de lutter contre l'immigration clandestine et de prévenir et réprimer des actes de terrorisme.
Les modifications projetées, essentiellement d'ordre technique, résultent de la mise en service de ce traitement SETRADER, qui permet l'emploi de nouvelles normes de transmission des données par les transporteurs aériens au ministère de l'intérieur.
Sur les modifications techniques :
Le décret n° 2006-1630 du 19 décembre 2006 prévoit actuellement une seule norme de transmission, comme EDIFACT/ONU/PAXLST. Le projet de décret prévoit la transmission de la liste des données des passagers enregistrées dans le traitement SETRADER sous d'autres formats que cette dernière. Les compagnies aériennes auront désormais la possibilité de transmettre cette liste au ministère de l'intérieur sous la forme de fichiers au format EDIFACT, XML, CSV ou EXCEL.
Cet élargissement des normes de transmission permettra de faciliter techniquement le respect des obligations mises à la charge des transporteurs aériens.
L'article 1er du projet de décret modificatif précise que les données à caractère personnel sont transmises « par envoi électronique sécurisé » au ministère de l'intérieur. A cet égard, la Commission rappelle que la transmission d'un message par simple courriel n'assure pas la confidentialité des données qu'il contient. Par la référence explicite à un envoi électronique sécurisé, la Commission considère que ces dispositions imposent que toutes les mesures nécessaires soient prises pour garantir la confidentialité et la fiabilité des données transmises ainsi que la disponibilité du canal de transmission.
Les autres conditions de mise en oeuvre du traitement SETRADER ne sont pas modifiées, en particulier la transmission et le stockage des données traitées.