Tous fichés ? Un nouvel accord relatif au transfert des données des dossiers passagers (Passenger Name Record – PNR) vers les États-Unis a été approuvé à 409 votes pour, 226 contre et 22 abstentions par les eurodéputés réunis jeudi dernier en session plénière à Strasbourg. Cet accord vient remplacer l’accord provisoire conclu l’année 2007 entre l’Union européenne et les États-Unis d’Amérique. Ce texte fixe les conditions juridiques et réglementaires liées au stockage, à l’utilisation et à la protection des données, et précise les recours administratifs et judiciaires éventuels.
Les eurodéputés qui ont voté contre l’accord estiment que la protection des données n’est pas garantie par ce texte. Parmi les opposants, la Néerlandaise Sophie in’t Veld, membre de l’Alliance des libéraux et des démocrates, vice-présidente de la commission liberté civile, justice et affaires intérieures au Parlement européen. « Le problème clé, est qu’il n’y a pas de limitation dans l’objectif sur l’utilisation des données. Or, la législation européenne impose comme condition de définir le but d’une collecte de données. Si l’on ne connaît pas l’usage, il est impossible de dénoncer un abus », a-t-elle déclaré dans un rapport parlementaire.
D’autres députés européens ont opté pour « le compromis », préférant la signature d’un accord bancal, à l’absence d’accord. La Commission européenne, de son côté, s’est félicitée par voie de communiqué : « Il s’agit d’un accord dont les trois institutions de l’UE peuvent être fières : [l’accord] prévoit un renforcement de la protection du droit des citoyens de l’UE au respect de leur vie privée et offre une sécurité juridique accrue aux transporteurs aériens. Dans le même temps, il répond parfaitement aux besoins des États-Unis et de l’UE sur le plan de la sécurité. »
Officiellement, depuis les attentats du 11 septembre 2001 contre les intérêts américains, les données des passagers qui séjournent aux États-Unis sont utilisées pour prévenir et détecter les actes terroristes et criminels transnationaux (punis par trois ans d’emprisonnement ou plus, en vertu de la législation américaine). Les dossiers PNR servent également « à identifier les personnes qui seraient soumises à un examen ou un interrogatoire approfondi ».
Les périodes de conservation des données passagers ont été prolongées à chaque nouvel accord UE/US depuis 2004, passant de trois ans et demi en 2004 à une durée indéterminée en 2011. Dans le cadre du nouveau texte, le département américain de la sécurité intérieure (Department of Homeland Security – DHS) et les agences américaines de renseignement pourront conserver pendant cinq ans maximum dans une base de données active les dossiers de données des passagers de l’Union.
Après six mois de stockage, les informations qui permettraient d’identifier tel ou tel passager devraient être « codées » (nom, coordonnées, etc.). Après cinq années, les données personnelles des passagers seront transférées dans une base de données « dormante » pendant 10 ans maximum et les règles d’accès à ces informations seront rendues plus strictes. Par la suite, ces données devraient être rendues « anonymes » (les informations qui pourraient servir à identifier le passager seront supprimées). En cas d’investigation, ces informations seront conservées dans une base de données active jusqu’à ce que l’enquête ait fait l’objet d’une archive.
Les informations sensibles comme l’origine ethnique, la religion, la santé physique et mentale ou encore l’orientation sexuelle pourront être utilisées dans des circonstances exceptionnelles, lorsque la vie d’une personne est en danger. Ces informations seront accessibles au cas par cas et seront supprimées définitivement 30 jours après réception, à moins qu’elles ne soient utilisées dans le cadre d’une enquête spécifique.
Les citoyens de l’UE dont les données auraient fait l’objet d’une utilisation abusive auront un droit de recours administratif ou judiciaire, et ce dans le cadre de la loi américaine. Ils pourront également accéder à leurs propres données PNR et demander une rectification au ministère américain (DHS).
Ces données (noms, coordonnées, numéro de passeport, numéro de carte bancaire…) sont obtenues par les compagnies aériennes durant la réservation d’un vol pour ou vers les États-Unis. En mai 2010, le Parlement européen a reporté son vote visant à mettre à jour l’accord PNR appliqué à titre provisoire depuis 2007, en raison de préoccupations relatives à la protection des données. Depuis, les eurodéputés ont encouragé la Commission européenne à négocier un nouvel accord, ce qui a été fait l’an dernier. Le 26 avril prochain, les ministres européens de la Justice et de l’Intérieur devraient approuver formellement cet accord applicable pour une période de sept ans.
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.