PNR

Sécurité au quotidien

Qu'est-ce que le PNR ?

Les données PNR sont des données communiquées par les passagers mêmes et qui sont collectées et conservées par le transporteur et/ou l’opérateur de voyage. Chaque entreprise détermine elle-même si elle collecte un nombre minimal de données (par exemple, le nom, le trajet réservé, l’opérateur de voyage auprès duquel le transport a été réservé, etc.) ou demande des informations complémentaires (par exemple, l’adresse email, le numéro de téléphone, etc.).

Les données que peuvent collecter les autorités belges sont limitées par la loi. Il est important de savoir que des informations sensibles telles que les préférences alimentaires ou la religion ne peuvent pas être conservées par les autorités et que les transporteurs et les opérateurs de voyage ne devront pas collecter plus de données que celles dont ils disposent. La loi belge relative au traitement des données des passagers dresse une liste limitative des données pouvant être collectées par les autorités :

  1. 1. le code repère du PNR;
  2. 2. la date de réservation et d'émission du billet;
  3. 3. les dates prévues du voyage;
  4. 4. les noms, prénoms et la date de naissance;
  5. 5. l'adresse et les coordonnées (numéro de téléphone, adresse électronique);
  6. 6. les informations relatives aux modes de paiement, y compris l'adresse de facturation;
  7. 7. l'itinéraire complet pour le passager concerné;
  8. 8. les informations relatives aux "voyageurs enregistrés", c'est-à-dire les grands voyageurs;
  9. 9. l'agence de voyage ou l'agent de voyage;
  10. 10. le statut du voyageur, y compris les confirmations, l'enregistrement, la non-présentation, ou un passager de dernière minute sans réservation;
  11. 11. les indications concernant la scission ou la division du PNR;
  12. 12. les remarques générales, y compris toutes les informations disponibles sur les mineurs non accompagnés de moins de 18 ans;
  13. 13. les informations relatives à l'établissement des billets, y compris le numéro du billet, la date d'émission, les allers simples, les champs de billets informatisés relatifs à leur prix;
  14. 14. le numéro du siège et autres informations concernant le siège;
  15. 15. les informations sur le partage de code;
  16. 16. toutes les informations relatives aux bagages;
  17. 17. le nombre et les noms des autres voyageurs figurant dans le PNR;
  18. 18. toutes les données préalables sur les passagers (données API) qui ont été collectées et sont énumérées à l’art. 9 § 2 de la loi;
  19. 19. l'historique complet des modifications des données énumérées aux 1° à 18°.

Qu'est-ce que l'API ?

API signifie Advance Passenger Information. Les données API proviennent de documents authentiques tels qu'un passeport ou une carte d'identité et sont suffisamment précises pour identifier une personne. Ces données sont demandées lors du processus de check-in ou au moment de l'embarquement dans un moyen de transport.

Il s'agit des données suivantes :

  1. 1. le type de document d’identité;
  2. 2. le numéro du document d’identité;
  3. 3. la nationalité;
  4. 4. le pays de délivrance du document d’identité;
  5. 5. la date d'expiration du document d’identité;
  6. 6. le nom de famille, le prénom, le sexe, la date de naissance;
  7. 7. le transporteur / opérateur de voyage;
  8. 8. le numéro du transport;
  9. 9. la date de départ, la date d'arrivée;
  10. 10. le lieu de départ, le lieu d'arrivée;
  11. 11. l'heure de départ, l'heure d'arrivée;
  12. 12. le nombre total de personnes transportées;
  13. 13. le numéro de siège;
  14. 14. le code repère du PNR;
  15. 15. le nombre, le poids et l'identification des bagages;
  16. 16. le point de passage frontalier utilisé pour entrer sur le territoire national.

Pourquoi collecter les données des passagers?

En conséquence d’une obligation européenne, la Belgique doit, comme chaque membre de l’UE, établir une Unité d’information des passagers dans laquelle les données des passagers à destination de, en provenance de et transitant par la Belgique sont collectées, conservées et traitées. Cette mesure s’applique dans le cadre de la lutte contre le terrorisme et la criminalité grave et organisée, basée sur la Directive européenne relative à l’utilisation des données des dossiers passagers. Etant donné que les données de réservation des passagers sont collectées dans un Passenger Name Record (PNR), on parle de la collecte de données PNR.

Les auteurs suspectés d’infractions terroristes ou d'autres infractions graves ont souvent un comportement de voyage spécifique qui change rapidement. Les données des passagers jouent un rôle important pour l'identification des déplacements de voyage, la collecte de preuves et le démantèlement de réseaux criminels. Les données PNR sont analysées à l'aide de critères préalablement définis, confrontées à diverses bases de données de personnes recherchées et utilisées pour des recherches ciblées. L'utilisation efficace de ces données fournit une plus-value substantielle pour notre sécurité interne, en contribuant à la prévention du terrorisme et des formes graves de criminalité, à la recherche et à l’examen de schémas suspects, et au suivi de suspects.

Pourquoi conserver et analyser les données des passagers ?

Après les attentats perpétrés à Paris (2015), le gouvernement fédéral a annoncé le développement d'un système PNR belge comme l'une des dix-huit mesures prioritaires dans la lutte contre le terrorisme et la criminalité grave. La majorité des activités liées à la criminalité organisée et au terrorisme impliquent en effet des déplacements internationaux. La collecte de données PNR et API permet dès lors aux autorités d'identifier les personnes suspectes qui étaient jusque-là inconnues des autorités.

A quelles fins les autorités peuvent-elles utiliser les données PNR ?

La collecte de données des passagers a pour objectifs la détection et la poursuite d'infractions graves. Les faits punissables pour lesquels le traitement des données des passagers peut être utilisé sont décrits à l’article 8 de la loi relative au traitement des données des passagers.

Qu'est-ce que le BelPIU ?

Le Belgian Passenger Information Unit (Unité d'information des passagers) a plusieurs missions :

  • La collecte, l'enregistrement et le traitement des données des passagers;
  • La gestion de la banque de données des passagers;
  • Le partage d'informations avec d'autres UIP, avec Europol et avec des pays tiers. Pour cela, des accords spécifiques qui fixent les procédures nécessaires et introduisent des restrictions doivent être conclus.

Base juridique

La loi relative au traitement des données des passagers est une transposition de la Directive européenne précitée et jette les bases du traitement des données des passagers. La législation belge s'applique au transport aérien, aux trains à grande vitesse, au transport international par bus, au transport de personnes par voie maritime, aux opérateurs de voyage et aux agences de voyage, et ce pour des trajets internationaux tant à l'intérieur qu'à l'extérieur de l'Union européenne (par ex. Bruxelles – Madrid, Bruxelles – New York). La loi n'entre en vigueur pour un secteur déterminé qu'après la publication de l'arrêté royal correspondant. Lors de l'établissement de cet arrêté royal, il est tenu compte autant que possible de la spécificité de chaque secteur. Bien que la priorité soit donnée au transport aérien, les autorités belges collecteront et analyseront aussi à terme les données d'autres secteurs, conformément à la législation existante.

Quid des garanties pour la protection de la vie privée ?

  • La loi relative au traitement des données des passagers décrit très précisément, conformément à la directive PNR, très précisément les finalités du traitement des données de passagers;
  • Tous les Etats membres sont obligés de créer une Unité d'information des passagers pour traiter et protéger les données dans un environnement sécurisé;
  • Un délégué à la protection des données (DPO) est désigné;
  • La loi relative au traitement des données des passagers interdit la collecte et l'utilisation de données sensibles. Les données relatives aux préférences religieuses et à la sexualité des passagers ne sont par exemple ni demandées ni conservées;
  • Après 6 mois, les données PNR sont dépersonnalisées, de telle sorte que l'intéressé ne peut plus être identifié immédiatement dans la banque de données du BelPIU;
  • Les données sont conservées pendant 5 ans. Ensuite, elles sont automatiquement supprimées de la banque de données;
  • Le transfert de données PNR à d'autres Etats membres de l'UE et à des pays tiers est seulement possible dans le cadre d'un protocole d'accord et dans des conditions très limitées ;
  • En tant que passager vous avez le droit d’accéder à vos données personnelles, et le cas échéant, de les rectifier.
  • Toute question ayant trait au traitement de vos données personnelles peut être adressée au DPO, à l’adresse mail suivante : belpiu.dpo@ibz.fgov.be. DPO - Rue de Louvain 1, 1000 Bruxelles. 
  • L’exercice des droits d’accès et de rectification s’effectue également auprès du DPO, via l’ adresse mail susmentionnée.

Quelle différence entre les trajets à l'intérieur et à l'extérieur de l'UE ?

Les données API sont toujours collectées pour les vols extra-UE  (ex. Bruxelles – Washington D.C.) afin de pouvoir répondre aux formalités aux frontières. Pour les trajets à l'intérieur de l’Union européenne (ex. Bruxelles – Berlin), le transporteur ou l'opérateur doit transmettre aux autorités les données API dont il dispose.

En ce qui concerne le transport intérieur, rien ne change. La collecte des données de passagers ne concerne en effet que le transport transfrontalier. Si vous prévoyez d'aller à l'étranger en train à grande vitesse, vos données seront toutefois conservées et pourront être analysées. La Belgique développe actuellement une approche commune avec les pays voisins en ce qui concerne le trafic ferroviaire à grande vitesse. A terme, outre pour le transport aérien, le BelPIU doit pouvoir recevoir et traiter des données de passagers pour les autres secteurs.

Que dois-je faire en tant que passager ?

  • Pour éviter tout problème à l’aéroport, vérifier minutieusement que les données communiquées lors de votre réservation sont correctes.
  • Se munir d’un document d’identité pour se rendre à l’aéroport.

 

En résumé :

  • Passenger Name Record (PNR) : dossier relatif aux conditions de voyage de chaque passager permettant le traitement et le contrôle des réservations par le transporteur et l'opérateur de voyage (ex. nom, adresse, numéro de téléphone).
  • Advance Passenger Information (API) : données d'enregistrement d'un passager dont font partie notamment le nom et le numéro d'un document d'identité.
  • BelPIU : Belgian Passenger Information Unit, ou Unité d’information des passagers, créée pour collecter, conserver et traiter les données des passagers transmises par les transporteurs et les opérateurs de voyage.
  • Loi du 25 décembre 2016 relative au traitement des données des passagers.
  • Un arrêté royal par secteur détermine la spécificité de la collecte et de la transmission des données.
  • Données des passagers à destination de, en provenance de et transitant par la Belgique pour les secteurs suivants :
    • Transport aérien
    • Transport par bus
    • Trains à grande vitesse
    • Navires à passagers
    • Opérateurs de voyage et agences de voyage
  • Les données sont dépersonnalisées après six mois et conservées pour une durée maximale de cinq ans.