Une erreur dans le texte ?

Le PNR européen adopté : même les vols en avion des pirates informatiques seront tracés

Par 461 voix contre 179, le Parlement européen a adopté jeudi la directive PNR (Passenger Name Record) qui permettra aux états membres de l'Union européenne de collecter et de conserver pendant 5 ans toutes les informations liées aux « vols extra-UE » voire à certains vols intra-UE. Ces informations comprendront notamment le nom des passagers, les dates de voyage, l'itinéraire prévu, les moyens de paiement utilisés, les coordonnées des voyageurs, les bagages enregistrés, etc., etc.

Les données qui concernent plus de 880 millions de passagers par an devront être fournies 24 à 48 heures avant le vol, et immédiatement après la clôture du vol. Elles pourront être consultées pour un certain nombre de délits et de crimes « graves », délimités très largement.

Le PNR européen était une demande insistante de certains gouvernements, et notamment de la France, réitérée comme une antienne à chaque attentat. Elle était donc logiquement revenue — et avec force — dans les discours de Manuel Valls après les tragiques attentats du 13 novembre 2015 à Paris. « Je ne comprends pas que des parlementaires européens, y compris des Français, s’opposent à cet instrument indispensable pour lutter contre le terrorisme », avait-il déclaré devant le Sénat le 20 novembre dernier.

Les attentats de Bruxelles ont fini d'achever de convaincre les parlementaires mis sous pression, même s'il n'existe aucun lien direct apparent entre les trajets d'avion des terroristes et leur passage à l'acte. Après le vote, le ministre de l'intérieur Bernard Cazeneuve a jugé dans un communiqué que ce PNR européen était un «  étape indispensable dans le renforcement de la lutte contre le terrorisme en Europe ».

« Le PNR sera un outil précieux pour renforcer la sécurité des citoyens européens en facilitant en amont le repérage des mouvements des terroristes djihadistes qui empruntent les transports aériens à la fois à travers l’Europe, mais aussi entre l’Europe et les autres régions du monde, pour les empêcher de passer à l’acte. Cet outil constituera également un progrès dans le partage des informations entre services de police et de renseignements européens, une des conditions cruciales pour rehausser notre protection face à une menace terroriste inédite et mouvante », a-t-il ajouté.

Jamais le gouvernement n'explique en quoi le PNR généralisé à l'ensemble des passagers des vols européens aurait aidé à éviter les événements tragiques de novembre ou de mars, alors-même que les auteurs d'attentats sont pour la plupart déjà fichés et peuvent donc faire l'objet de signalements individualisés lors de leurs passages aux frontières. Les experts de l'anti-terrorisme étaient d'ailleurs très réservés sur l'utilité réelle du PNR, et encore plus sur sa nécessité.

Mais le registre des vols est loin, très loin d'être limité au seul terrorisme.

Le PNR pourra servir contre « la contrefaçon et le piratage de produits »

L'article 1er de la directive adoptée dispose que les données liées aux vols conservées pendant 5 ans (dont 6 mois sans restrictions d'accès) pourront être traitées par les autorités pour « la prévention et la détection d'infractions terroristes et de certains types d'infractions transnationales graves ». Or la liste de ces dernières définies à l'annexe II du texte est particulièrement longue.

Elle compte 26 types de crimes et délits punis d'au moins trois ans de prison.

Participation à une organisation criminelle,

Traite des êtres humains, aide à l'entrée et au séjour irréguliers, trafic illicite d'organes et de tissus humains,

exploitation sexuelle des enfants et pédopornographie, viol, mutilation génitale féminine,

trafic illicite de stupéfiants et de substances psychotropes,

trafic illicite d'armes, de munitions et d'explosifs,

fraude grave, fraude portant atteinte aux intérêts financiers de l'Union, blanchiment du produit du crime, blanchiment d'argent et faux monnayage,

homicide volontaire, coups et blessures graves, enlèvement, séquestration et prise d'otage, vol avec arme,

infractions informatiques graves et cybercriminalité,

crimes contre l'environnement, y compris le trafic illicite d'espèces animales menacées et le trafic illicite d'espèces et d'essences végétales menacées,

falsification de documents administratifs et trafic de faux, trafic de biens culturels, y compris d'antiquités et d'œuvres d'art, contrefaçon et piratage de produits,

détournement d'avion / de navire,

espionnage et trahison,

trafic et commerce illicites de matières nucléaires et radioactives et de leurs précurseurs et, à cet égard, infractions à la non-prolifération,

crimes contre l'environnement, y compris le trafic illicite d'espèces animales menacées et le trafic illicite d'espèces et d'essences végétales menacées,

crimes relevant de la juridiction de la Cour pénale internationale.

Ainsi le fait de télécharger des séries TV illégalement et de les partager sur BitTorrent pourrait théoriquement justifier d'accéder aux données PNR du suspect pour savoir où il se balade en Europe ou en dehors de l'Europe, tout comme n'importe quelle « cybercriminalité », qui regroupe en principe l'ensemble des infractions pénales commises sur Internet.

La directive demande simplement qu'il s'agisse d'actes de cybercriminalité punissables d'au moins de 3 ans de prison, ce qui est le cas en France de nombreuses atteintes aux systèmes informatiques, y compris « le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données » (puni de 5 ans), ce qui peut être fait avec une simple attaque DDOS.

Des garanties ?

Pour tenter d'équilibrer le PNR, le dispositif est doté d'un certain nombre de mécanismes, résumés ainsi par les services du Parlement européen :

Les unités nationales de renseignements sur les passagers devront nommer un délégué à la protection des données chargé de contrôler le traitement des données PNR et de mettre en œuvre les garanties correspondantes.
L'accès à l'ensemble des données PNR —qui permet aux utilisateurs d'identifier immédiatement le sujet des données — devrait uniquement être octroyé dans des conditions très strictes et limitées après la période de conservation initiale.
Tout traitement des données PNR devrait être journalisé ou faire l'objet d'une trace documentaire.
Il sera explicitement interdit de traiter des données à caractère personnel révélant l'origine raciale ou ethnique de l'individu, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance syndicale, ainsi que les données concernant sa santé, sa vie sexuelle ou son orientation sexuelle.

La directive doit désormais être adoptée formellement par les états membres au sein du Conseil du ministres, puis les états membres auront deux ans pour transposer le texte en droit national.