La loi de programmation militaire (PLM) a provoqué une belle levée de boucliers en encadrant l’accès des services secrets à nos données de connexion (dont la géolocalisation en temps réel des téléphones portables). Une autre disposition de ce texte, définitivement adopté au Sénat le 10 décembre 2013, est passée plus inaperçue. L’article 17 prévoit la création d’une plateforme de collecte des données de réservation (dites PNR, pour passenger name record) et d’enregistrement (API pour advanced passengers system) des passagers aériens. Un fichier qui ouvre la porte à des pratiques de profilage à grande échelle, en permettant de différencier a priori (en fonction de leur itinéraire, de leur mode de paiement, etc.) des passagers « normaux » et des passagers « suspects », à suivre de plus près.
Il s’agit, au nom de la lutte contre le terrorisme et la criminalité organisée, de ficher pour cinq ans l’intégralité des données de tous les passagers atterrissant ou décollant en France. Seuls sont exclus de cette « unité information passagers » (UIP) les vols internes à la métropole (et pas les vols intracommunautaires comme le souhaitait la commission des lois du Sénat). Et ce sans attendre une future directive de l’Union européenne sur le sujet, bloquée depuis des années par la gauche européenne qui juge le dispositif disproportionné et liberticide. « Le fichier PNR est indispensable à nos services de renseignement, mais aussi aux services de police judiciaire compte tenu des enjeux attachés à la connaissance des déplacements internationaux d’individus rattachés aux mouvances al-quaïdistes et aux trafics criminels », a indiqué Jean-Yves Le Drian, le ministre de la défense lors de la discussion du texte à l’Assemblée nationale le 29 novembre 2013.
Aéroport de Roissy © ReutersLes données PNR, recueillies par les compagnies aériennes lors de la réservation, sont très riches en informations personnelles : itinéraire complet, adresse de facturation, numéro de carte de crédit, coordonnées de l’agence de voyages, compagnons de voyage, numéro de place, préférences alimentaires, problèmes de santé, ou encore contacts dans le pays d’arrivée (liste complète sous l’onglet Prolonger). Aux États-Unis, ces données sont systématiquement exigées par le ministère de la sécurité intérieure (department of homeland security) et les agences de renseignement depuis l’après-11 septembre 2001. Placée devant le fait accompli, l’Union européenne a négocié quelques garde-fous aux transferts vers les autorités américaines des informations de ses citoyens. Le dernier accord est entré en application en juillet 2012 (le précédent datait de 2007). Mais, jusqu’ici, seule une poignée d’États européens, comme le Royaume-Uni, exploitaient ces données commerciales pour leur propre compte. « On est dans une situation totalement idiote, l’Europe devant collecter l’info au profit des services américains, sans y avoir accès », souligne une source à la commission de la défense du Sénat.
En France par exemple, les enquêteurs – à l’exception des douanes – n’ont aujourd’hui accès qu’aux infos d’enregistrement (API), stockées au sein du fichier des passagers aériens (FPA). Des données bien moins opérationnelles. Et « dans les faits, seuls les passagers à destination ou en provenance de 31 pays sensibles font l’objet d’une surveillance minimale par ce biais, indique un rapport sénatorial. Ainsi, si une personne se rend dans un pays sensible en faisant escale en Europe ou dans un pays ne faisant pas partie des destinations sensibles, les services de renseignement n’en sont pas informés ». Les porteurs du projet s’appuient sur l’affaire Merah, affirmant que « le dispositif actuel n'avait pas permis d'évaluer la radicalisation de l'intéressé » et que « les données PNR auraient permis d'aller plus vite lors de l'enquête ». « Il s’agit d’un contrecoup de l’affaire Merah, où l'on a bien vu que les gens ne prennent pas des vols directs, indique ainsi Jean-Jacques Urvoas, président (PS) de la commission des lois de l’Assemblée nationale. Donc connaître le cheminement des personnes, cela peut être utile. »
Pourtant, les services secrets français savaient presque tout des nombreux voyages à l’étranger de Mohamed Merah. Et ce bien avant qu’il ne passe à l’acte et ne tue sept personnes à Montauban et Toulouse en mars 2012. La DCRI avait été avertie dès novembre 2010 par la DPSD du contrôle du jeune Français à Kandahar en Afghanistan. Mi-août 2011, Mohamed Merah avait effectivement réussi à rejoindre le Pakistan sans être repéré. Selon L’Express, il était en effet passé par Oman, pays ne faisant pas partie des 31 destinations sensibles systématiquement surveillées. Mais dès début septembre 2011, l’antenne toulousaine de la DCRI avait eu vent du voyage de Merah, et avait même organisé un entretien admnistratif à son retour. Ce n’est donc pas par manque d’information que les services français ont failli.
Côté criminalité organisée, l’UE déballe une série de chiffres alléchants. À en croire la proposition de directive, « 65 à 75 % » des saisies de drogue effectuées en 2009 en Suède résultaient « exclusivement ou essentiellement du traitement de données PNR ». La même année, ce chiffre monte à 95 % en Belgique « soit 278,9 kilos de cocaïne, plus de l'héroïne et d'autres drogues ». Quant au Royaume-Uni, il affiche « 212 kilos de cocaïne et 20 kilos d'héroïne » saisis en un seul semestre, en 2010. Là encore grâce aux données PNR. De quoi faire saliver les policiers français…
Déjà prévue par la loi antiterroriste de 2006, la plateforme PNR française n’avait jamais vu le jour. À l’époque, elle ne devait concerner que la lutte antiterroriste. Avec la PLM, les socialistes balaient bien plus large : il s’agit de prévenir et de réprimer les actes de terrorisme, mais également les atteintes aux intérêts fondamentaux de la nation et une trentaine d’infractions allant de l’escroquerie à la traite d’êtres humains. Un simple décret devra fixer la liste des « services autorisés à interroger l'unité de gestion », qui sera gérée par une soixantaine de fonctionnaires. Seront exclues du fichier les données personnelles à caractère sensible (origine ethnique d'une personne, convictions religieuses, opinions politiques, appartenance à un syndicat, santé, vie sexuelle de l'intéressé).
Le fichier pourra être utilisé de deux façons : soit pour suivre les déplacements d’une personne déjà connue des services, soit pour repérer des personnes inconnues qui « compte tenu de (leur) façon de voyager, présente(nt) un risque ». « Si l'on s’aperçoit que dans un vol venant de Miami, le type est en réalité parti de Colombie, il sera contrôlé par les douanes à l’arrivée, schématise une source parlementaire. Si son départ c’est Peshawar, il y a de grandes chances que ce soit la DCRI qui contrôle sa valise, ses papiers et vérifie chez qui il est hébergé… »
© ReutersC’est ce qu’on appelle du profilage, une technique qui fait hurler les défenseurs des libertés. Il s’agit de détecter automatiquement des personnes estimées « potentiellement dangereuses », grâce à des critères entrés au préalable dans un système informatique. Ces critères seront actualisés par les services français organisés « en fonction de l'évolution des trafics et des modes opératoires des réseaux criminels et terroristes », indique un rapport sénatorial. « Une analyse de données PNR peut donner des indications sur les itinéraires les plus empruntés pour la traite des êtres humains ou le trafic de drogue, autant d’éléments qui peuvent être intégrés dans les critères d'évaluation », précise de son côté le projet de directive européenne. En 2007, le contrôleur européen de la protection des données avait critiqué ce système de profilage qui pourrait « avoir des répercussions importantes pour les personnes concernées ». « Il est extrêmement difficile, pour des particuliers, de se défendre contre de telles décisions (…) faisant référence à un contexte abstrait », s’inquiétait le contrôleur. « Le principal reproche fait à ces collectes indifférenciées de données est de considérer chaque utilisateur comme un suspect a priori, ajoutait le sénateur (UDI) Yves Détraigne en 2009. Ses données personnelles sont conservées au cas où elles se révéleraient intéressantes ultérieurement. »
La commission des libertés civiles du Parlement européen a ainsi rejeté le 27 avril 2013 une proposition de directive sur l'utilisation des données des passagers des compagnies aériennes (PNR) au sein de l'UE. « Je sais que la connexion entre députés européens et cadres nationaux du PS n’est pas toujours bonne, mais je précise qu’en l’occurrence, le rejet a été soutenu par les socialistes et les écologistes européens ! », s’est étonné le député Lionel Tardy (UMP) le 29 novembre 2013. De fait, la directive européenne a très peu de chances d’être adoptée dans les prochains mois, vu le climat de défiance créé par les révélations d’Edward Snowden sur l’espionnage massif pratiqué par les États-Unis et le Royaume-Uni.
« En votant contre mon texte, les socialistes et libéraux ont voulu pratiquer une forme de chantage pour obliger la Commission européenne à avancer sur la protection des données personnelles (dont l’adoption a été repoussée à 2015, ndlr) », regrette l’eurodéputé conservateur et britannique Timothy Kirkhope, rapporteur du texte en commission des libertés civiles. « C’est ridicule, car la directive apportera une meilleure protection des données passagers, avec des règles de base communes à tous les pays de l’Union européenne, insiste Timothy Kirkhope. La France ferait bien de s’assurer que ce que son parlement a voté sera compatible avec ma future directive européenne. » Le projet de directive européenne prévoit par exemple que les données soient « rendues anonymes après un bref délai de 30 jours », ce qui n’est indiqué nulle part dans le texte français.
Mais le gouvernement français a préféré anticiper la transposition d’un texte européen, « fait assez rare, voire inédit dans cette enceinte », a ironisé Lionel Tardy. La perspective de pouvoir bénéficier de fonds européens, dont l'échéance était fixée au 1er janvier 2014, n’est peut-être pas étrangère à cette hâte. Même si la directive n’a pas encore été adoptée, l’Union européenne a en effet débloqué 50 millions d’euros pour financer les projets de plateforme des États membres. Et là encore, la France a anticipé : elle avait répondu à l’appel à projet, avant même le vote de la loi PLM…
Prolonger : Retrouvez toutes nos informations complémentaires sur notre site complet www.mediapart.fr.
A lire aussi sur le blog de Tuxicoman : Fichier des empreintes génétiques