Si le Ministre a sollicité l’avis de la CNIL afin de conforter la faisabilité juridique qu’il déclare acquise, la réponse est pourtant loin d’être aussi certaine, tant au regard du RGPD que des libertés fondamentales.
Au contraire, une telle mesure si elle était admise exposerait le citoyen à une atteinte sans précédent à sa vie privée et à sa liberté de circulation ; elle constituerait un pas de plus vers une surveillance de masse de la population française.
Décryptage.
La lutte contre la fraude fiscale justifie t-elle l’accès au fichier des compagnies aériennes le Passengers Name Records (PNR) ?
L’annonce du Ministre des Comptes Public Gabriel Attal de traquer les retraités et les bénéficiaires de prestations sociales expatriés en exploitant le fichier des compagnies aériennes soulève d’importantes inquiétudes.
Si l’accès au PNR par l’administration fiscale ou les caisses de sécurité sociale permettrait à ces dernières de connaitre les déplacements des citoyens et déterminer leur période de résidence sur le sol français, cette connaissance ne porte-t-elle pas atteinte à la vie privée et à la liberté fondamentale d’aller et venir ?
Or, en l’état actuel, toute transmission par les compagnies aériennes des données PNR en leur possession constituerait une violation de la législation européenne sur les données personnelles incarnée par le Règlement Général sur la Protection des Données (RGPD).
Comment alors concilier la lutte contre la fraude fiscale et le nécessaire respect de la vie privée ?
Si le Ministre des Comptes Publics a sollicité l’avis de la CNIL sur cette mesure, les dangers qu’elle représente méritent d’être soulignés.
1. L’intérêt du PNR dans la lutte contre la fraude fiscale.
1. Littéralement « Passengers Name Records » ou fichier des passagers, le PNR regroupe toutes les informations entourant la réservation d’un billet d’avion par un passager et détenue par une compagnie aérienne.
Sur son site, la CNIL donne la définition suivante :
« Il s’agit des informations collectées auprès des passagers aériens au stade de la réservation commerciale. Elles permettent d’identifier, entre autres : l’itinéraire du déplacement, les vols concernés, le contact à terre du passager (numéro de téléphone au domicile, professionnel, etc.), les tarifs accordés, l’état du paiement effectué, le numéro de carte bancaire du passager, ainsi que les services demandés à bord tels que des préférences alimentaires spécifiques (végétarien, asiatique, cascher, etc.) ou des services liés à l’état de santé du passager » [1].
Concrètement le PNR se matérialise par le numéro de réservation - composé de 6 caractères alphanumériques - généré par toute agence de voyage lors de l’émission d’un billet d’avion. Toutes les informations nécessaires au voyage sont conservées dans le système de réservation et de contrôle des départs, puis sont échangées auprès de tous les acteurs du voyage. Ainsi, il est possible de reconstituer tous les déplacements aériens du passager, voir même un profilage précis de celui-ci.
Auparavant, ces opérations étaient réalisées manuellement ce qui rendait fastidieux toute exploitation des données. Le bond technologique permet aujourd’hui de traiter électroniquement ces données de manière quasi instantanée et de les utiliser comme outil de renseignements sur de potentielles activités criminelles.
Le PNR ne doit pas être confondu avec l’Advance Passenger Information (API) qui sont des données limitées à la seule vérification d’identité sur la base des données biographiques extraites du passeport : le nom, le lieu de résidence, le lieu de naissance et la nationalité du titulaire. Ces données sont transmises aux autorités chargées d’effectuer les contrôles d’identité aux frontières et sont conservées par les Etats membres pendant 24 heures.
L’avantage des données PNR réside dans le fait que ces données sont disponibles avant les données API ce qui offre plus de temps aux autorités répressives de chaque Etat pour les traiter, les analyser et prendre toute mesure jugée utile telle que le refus d’entrée sur le territoire ou l’interpellation d’une personne recherchée.
Pour l’Administration fiscale, l’accès au PNR présente un intérêt majeur : s’assurer que le bénéficiaire d’une prestation sociale réside effectivement sur le sol français. En effet, il faut avoir résidé au moins six mois en France pour toucher le minimum vieillesse et les allocations familiales, huit mois pour bénéficier des APL et neuf mois pour être éligible au RSA. Grâce au PNR, l’Administration fiscale disposerait d’un outil permettant de vérifier qu’un bénéficiaire d’une prestation sociale conditionnée à sa résidence en France ne se trouve pas en réalité hors de l’hexagone ; ou encore vérifier la durée effectivement passée sur le territoire national d’une personne ayant déclaré ne pas résider en France pour bénéficier d’une législation fiscale plus avantageuse.
2. Originellement, c’est au lendemain des attentats du 11 septembre 2001 que le PNR a commencé à susciter des convoitises, faisant de celui-ci un instrument de lutte contre le terrorisme.
Historiquement, les Etats Unis exigeaient des compagnies aériennes la transmission de ce PNR pour conditionner tout entrée sur le territoire américain. Cette transmission avait suscité des crispations entre l’Union Européenne et les Etats-Unis puisqu’aucune garantie n’étaient apportées sur les conditions d’accès, de conservation, de sécurité et de suppression de ces données sur le sol américain. En effet, la législation américaine est beaucoup moins protectrice des données personnelles que la législation européenne, qu’il s’agisse de de l’ancienne directive européenne de 1995 applicable à l’époque ou de l’actuel Règlement Général sur la Protection des Données (RGPD). C’est pourquoi plusieurs accords ont été mis en place pour encadrer les transferts de données personnelles de l’Europe vers les Etats Unis ou tout autre pays situé hors de la zone UE.
Plus récemment la Directive UE 2016/681 du 27 avril 2016 instaure un PNR à l’échelle européenne « pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière ». L’objectif de ce texte est d’aboutir à une harmonisation entre les différents PNR mis en œuvre dans chaque Etat membre dans la lutte contre le terrorisme et les formes graves de criminalité [2].
Faudrait-il considérer la fraude fiscale comme une forme grave de criminalité ?
2. L’accès au PNR confronté aux exigences du RGPD ?
1. Comme tout fichier portant sur des données personnelles, c’est-à-dire des données permettant d’identifier directement ou indirectement une personne physique, les fichiers PNR doivent respecter la législation européenne sur les données personnelles incarnée par le Règlement Général sur la Protection des Données (RGPD).
L’accès au PNR par l’Administration fiscale se heurte au principe de finalité et au principe de loyauté de la collecte qui innervent le RGPD.
Comme le rappelle l’article 5 du RGPD :
« Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ».
A ce jour, la finalité du PNR porte principalement sur la gestion de la réservation commerciale du passager et l’organisation de son transport.
Toutefois, l’article L232-7 du Code de la sécurité intérieure transposant la directive européenne PNR précitée, crée un traitement distinct ayant pour finalité « la prévention et la constatation de certaines infractions » à savoir « les actes de terrorisme, les atteintes aux intérêts fondamentaux de la nation ainsi que les infractions mentionnées à l’annexe II de la directive (UE) 2016/681 ».
Si l’annexe II prévoit un point 7 indiquant « Fraude, y compris la fraude portant atteinte aux intérêts financiers de l’Union », peut on considérer que séjourner hors de France tout en percevant ses allocations remplisse la condition de gravité permettant d’être englobé par cette disposition ? Il est permis d’en douter…
C’est uniquement dans ces conditions que les transporteurs aériens sont « tenus de communiquer les données relatives aux passagers enregistrées dans leurs systèmes de réservation ».
Dans tous les cas l’information de la personne concernée est essentielle, imposée tant par le RGPD que par l’article L232-7 du Code de la sécurité intérieure.
2. En l’état actuel du droit, le PNR n’a pas pour finalité de lutter contre la fraude fiscale, ni d’alimenter un tel fichier distinct.
Dès lors, tout croisement de fichier entre l’autorité judiciaire destinataire des PNR et l’Administration fiscale serait illicite.
Dans l’hypothèse où l’Administration fiscale aurait pu malgré tout accéder aux données PNR dans le but de traquer des fraudeurs, cet accès constituerait un détournement de finalité au sens du RGPD.
L’administration fiscale n’apparait pas non plus comme destinataire des données de sorte qu’une telle transmission pourrit être constitutive d’une faille de sécurité.
L’établissement d’un fichier alimenté par les données issues du PNR constituerait, s’il était avéré, une collecte déloyale et donc illicite.
L’accès au PNR est donc strictement encadré et les compagnies aériennes ne sont obligées de fournir ces données que dans les cas et pour les finalités expressément autorisées par la loi, plus particulièrement le Code de sécurité intérieure.
En d’autres termes et pour l’heure, les compagnies aériennes doivent refuser toute transmission des PNR à l’Administration fiscale, au risque de violer le RGPD.
3. Quels risques pour les libertés fondamentales ?
1. La problématique de l’accès au PNR fait ressurgir celle de la surveillance généralisée des citoyens à travers leurs déplacements aériens.
Si l’objectif poursuivi de lutte contre la fraude fiscale est parfaitement légitime, celui-ci justifie-t-il une atteinte aussi forte à la vie privée et aux libertés fondamentales ?
A travers le PNR, c’est la liberté d’aller et venir pour tout citoyen qui est en jeu !
Cet élargissement de l’accès au PNR est inquiétant : il s’agit ni plus ni moins que d’un traçage des passagers dont les données seront croisées avec celles détenues par l’administration fiscale ou les caisses de sécurité sociale. Il appartiendra alors à toute personne interrogée de justifier de sa situation ce qui confère un aspect policier.
Il n’est pas certain que cette atteinte soit proportionnée à l’objectif poursuivi.
Si l’on peut concevoir que la lutte contre le terrorisme et les formes graves de criminalité puisse justifier l’accès au PNR par les autorités judiciaires pour assurer la sécurité des personnes, la lutte contre la fraude fiscale est loin de constituer une justification toute aussi valable.
La conciliation entre la lutte contre la fraude fiscale et le respect de la vie privée est loin d’être établie.
La CNIL a déjà eu l’occasion de se prononcer sur le système API PNR au regard du respect de la vie privé des voyageurs ; elle a considéré que celui-ci « pouvait porter une atteinte grave au respect de la vie privée, en raison du grand nombre de personnes concernées et de la quantité d’informations enregistrées » [3].
Il est à espérer qu’elle s’opposera à valider un tel accès en toute circonstance dans la réponse qu’elle fera au Ministre des Comptes Publics.
2. Plus récemment, la CJUE a rendu un arrêt fort instructif le 21 juin 2022 portant sur la directive PNR de 2016 et réaffirmant dans des termes forts le caractère limitatif de tout transfert de données des passagers :
Pour la CJUE, le droit de l’Union européenne, en particulier l’article 2 de la directive PNR,
« doit être interprété en ce sens qu’il s’oppose à une législation nationale qui prévoit, en l’absence de menace terroriste réelle et actuelle ou prévisible à laquelle fait face l’État membre concerné, un système de transfert, par les transporteurs aériens et les opérateurs de voyage, ainsi que de traitement, par les autorités compétentes, des données PNR de l’ensemble des vols intra-UE et des transports effectués par d’autres moyens à l’intérieur de l’Union, en provenance ou à destination de cet État membre ou bien encore transitant par celui-ci, aux fins de la lutte contre les infractions terroristes et les formes graves de criminalité ».
La cour précise que lorsqu’une telle menace existe,
« l’application du système établi par la directive PNR doit être limitée au transfert et au traitement des données PNR des vols et/ou des transports relatifs notamment à certaines liaisons ou à des schémas de voyage ou encore à certains aéroports, gares ou ports maritimes pour lesquels il existe des indications de nature à justifier cette application ».
Enfin, la cour précise également que « le droit de l’Union s’oppose à une législation nationale prévoyant un tel système de transfert et de traitement desdites données aux fins de l’amélioration des contrôles aux frontières et de la lutte contre l’immigration clandestine » [4].
La CJUE emploie des termes forts (le droit de l’Union s’oppose) pour affirmer que la transmission des données PNR n’est justifiée qu’en raison de l’existence d’une menace qui ne soit pas hypothétique ou purement fantaisiste.
La lutte contre la fraude fiscale ne constitue en rien une menace d’une gravité équivalente.
Au contraire la jurisprudence de la CJUE a systématiquement privilégier la protection de la vie privée, consacrant tour à tour des notions fondamentales comme le droit à l’oubli numérique ou encore les garanties indispensables à tout transfert de données hors zone UE. L’arrêt du 21 juin 2022 s’inscrit dans cette dynamique [5].
La protection de la vie privée et de la liberté de circulation ne sont pas des objectifs inférieurs à la lutte contre la fraude fiscale, et méritent d’être préservées.
De quoi inviter la CNIL à la plus grande prudence dans l’avis qu’elle rendra au gouvernement…
Au-delà de la problématique de l’accès au PNR, c’est un étau qui se resserre progressivement autour du citoyen à qui l’on intime de se justifier, au risque de piétiner davantage sa vie privée en contrôlant ses déplacements.
On ne manquera pas de souligner la contradiction à vouloir surprotéger le citoyen dans l’usage de ses données personnelles et en même temps le priver de ses droits pour des motifs présentés comme impérieux ou pour sa sécurité. On se souviendra des débats qu’ont donné lieu l’exploitation des données de connexion (ou données traffic) entourant chaque communication électronique et qui aujourd’hui sont conservées au minimum un an, bien qu’un principe d’anonymisation soit avancé en façade. Elargir l’accès au PNR à l’administration fiscale, c’est réduire davantage à une peau de chagrin la vie privée de chaque individu sur ses déplacements.
A l’heure où les technologies permettent aux autorités publiques de recourir à des moyens inédits de surveillance de chaque individu, il est crucial dans une société démocratique de protéger le droit de toute personne au respect de sa vie privée ainsi que de sa liberté de circulation, et de s’opposer à ce qui s’apparente à une surveillance de masse...
