BelPIU: je prépare un déplacement international

Sécurité au quotidien

Click here for the English version of this text.

Quelles sont les implications pour moi, passager, de la loi relative au traitement des données des passagers ?

Pourquoi collecter les données des passagers?

Comme presque chaque Etat Membre de l’Union Européenne, la Belgique a établi une Unité d’Information des Passagers dans laquelle les données des passagers depuis, vers ou via la Belgique sont collectées, conservées et traitées. Cette mesure s’inscrit dans le cadre de la lutte contre le terrorisme et la criminalité grave et organisée : elle fait partie des dix-huit mesures prioritaires annoncées par le Gouvernement fédéral après les attentats de Paris en 2015 et se base sur la Directive européenne relative à l’utilisation des données des dossiers passagers. Etant donné que les données de réservation des passagers sont collectées dans un Passenger Name Record (PNR), on parle de la collecte de données PNR.
Les auteurs suspectés d’infractions terroristes ou d'autres infractions graves ont souvent un comportement de voyage spécifique qui change rapidement. Les données des passagers jouent un rôle important pour l'identification des déplacements de voyage, la collecte de preuves et le démantèlement de réseaux criminels. Les données PNR sont analysées à l'aide de critères préalablement définis, confrontées à diverses bases de données de personnes recherchées et utilisées pour des recherches ciblées. L'utilisation efficace de ces données fournit une plus-value substantielle pour notre sécurité interne, en contribuant à la prévention du terrorisme et des formes graves de criminalité, à la recherche et à l’examen de schémas suspects, et au suivi de suspects. Le traitement de ces données est effectué dans le respect de strictes garanties de protection de la vie privée. 

A quelles fins les autorités peuvent-elles utiliser les données PNR ? 

La collecte de données des passagers a pour objectifs la détection et la poursuite d'infractions graves. Les faits punissables pour lesquels le traitement des données des passagers peut être utilisé sont définis à l’article 8 de la loi relative au traitement des données des passagers. Il s’agit par exemple des faits de terrorisme, du trafic de drogues, du trafic d’êtres humains, du trafic d’enfants, de l’espionnage industriel, de la cybercriminalité ou des faits de meurtres.  

Base juridique

La loi relative au traitement des données des passagers est une transposition de la Directive européenne précitée et jette les bases du traitement des données des passagers. La législation belge s'applique au transport aérien, aux trains à grande vitesse, au transport international par bus, au transport de personnes par voie maritime, aux opérateurs de voyage et aux agences de voyage, et ce pour des trajets internationaux vers ou via la Belgique tant à l'intérieur qu'à l'extérieur de l'Union européenne. La loi n'entre en vigueur pour un secteur déterminé qu'après la publication de l'arrêté royal correspondant. Lors de l'établissement de cet arrêté royal, il est tenu compte autant que possible de la spécificité de chaque secteur.  

L’arrêté royal du 18 juillet 2017 exécute la loi pour le secteur aérien et entre en vigueur pour chaque compagnie aérienne effectuant des vols depuis, vers ou via la Belgique lorsque celle-ci a reçu une notification officielle et à la date précisée dans cette notification. Les prochaines étapes consisteront en la rédaction d’un arrêté royal pour le secteur des trains à grande vitesse et d’un arrêté royal pour le secteur des bus internationaux dans un premier temps, puis en celle d’un arrêté royal pour le transport maritime international de passagers en un second temps. 

Quelles sont les données collectées ?

Les données PNR sont des données communiquées par les passagers mêmes et qui sont collectées et conservées par le transporteur et/ou l’opérateur de voyage. Chaque entreprise détermine elle-même si elle collecte un nombre minimal de données (par exemple, le nom, le trajet réservé, l’opérateur de voyage auprès duquel le transport a été réservé, etc.) ou demande des informations complémentaires (par exemple, l’adresse email, le numéro de téléphone, etc.).

Les données que peuvent collecter les autorités belges sont limitées par la loi. Il est important de savoir que des informations sensibles telles que les préférences alimentaires ou la religion ne peuvent pas être conservées par les autorités et que les transporteurs et les opérateurs de voyage ne devront pas collecter plus de données que celles dont ils disposent. La loi belge relative au traitement des données des passagers dresse une liste limitative des données pouvant être collectées par les autorités :

  1. le code repère du PNR;
  2. la date de réservation et d'émission du billet;
  3. les dates prévues du voyage;
  4. les noms, prénoms et la date de naissance;
  5. l'adresse et les coordonnées (numéro de téléphone, adresse électronique);
  6. les informations relatives aux modes de paiement, y compris l'adresse de facturation;
  7. l'itinéraire complet pour le passager concerné;
  8. les informations relatives aux "voyageurs enregistrés", c'est-à-dire les grands voyageurs;
  9. l'agence de voyage ou l'agent de voyage;
  10. le statut du voyageur, y compris les confirmations, l'enregistrement, la non-présentation, ou un passager de dernière minute sans réservation;
  11. les indications concernant la scission ou la division du PNR;
  12. les remarques générales, y compris toutes les informations disponibles sur les mineurs non accompagnés de moins de 18 ans;
  13. les informations relatives à l'établissement des billets, y compris le numéro du billet, la date d'émission, les allers simples, les champs de billets informatisés relatifs à leur prix;
  14. le numéro du siège et autres informations concernant le siège;
  15. les informations sur le partage de code;
  16. toutes les informations relatives aux bagages;
  17. le nombre et les noms des autres voyageurs figurant dans le PNR;
  18. toutes les données préalables sur les passagers (données API) qui ont été collectées et sont énumérées à l’art. 9 § 2 de la loi;
  19. l'historique complet des modifications des données énumérées aux 1° à 18°.

Les données API (Advance Passenger Information) proviennent de documents authentiques tels qu'un passeport ou une carte d'identité et sont suffisamment précises pour identifier une personne. Ces données sont demandées lors du processus de check-in ou au moment de l'embarquement dans un moyen de transport.

Il s'agit des données suivantes :

  1. le type de document d’identité;
  2. le numéro du document d’identité;
  3. la nationalité;
  4. le pays de délivrance du document d’identité;
  5. la date d'expiration du document d’identité;
  6. le nom de famille, le prénom, le sexe, la date de naissance;
  7. le transporteur / opérateur de voyage;
  8. le numéro du transport;
  9. la date de départ, la date d'arrivée;
  10. le lieu de départ, le lieu d'arrivée;
  11. l'heure de départ, l'heure d'arrivée;
  12. le nombre total de personnes transportées;
  13. le numéro de siège;
  14. le code repère du PNR;
  15. le nombre, le poids et l'identification des bagages;
  16. le point de passage frontalier utilisé pour entrer sur le territoire national.

Quelle différence entre les trajets à l'intérieur et à l'extérieur de l'UE ?

Les données API ne sont que collectées pour les transports extra-UE  (ex. Bruxelles – Washington D.C.) afin de pouvoir répondre aux formalités aux frontières.. Les données PNR, quant à elles, sont collectées et transmises aussi bien sur les déplacement extra-UE que sur les déplacements intra-UE.

A terme, lorsque vous vous rendrez à l'étranger, que ce soit en avion, en train à grande vitesse, en bus ou par voie maritime, vos données seront donc conservées et pourront être analysées. En ce qui concerne le transport intérieur, rien ne change. La collecte des données de passagers ne concerne en effet que le transport transfrontalier. 

A quoi dois-je penser en tant que passager ?

  • Pour éviter tout problème à l’embarquement, vérifier minutieusement que les données communiquées lors de votre réservation sont correctes.
  • Se munir d’un document d’identité pour se rendre au point d’embarquement.

Quelles sont les  des garanties pour la protection de ma vie privée ?

  • La loi relative au traitement des données des passagers décrit très précisément, conformément à la directive PNR, les finalités du traitement des données de passagers;
  • L’ Unité d'information des passagers traite et protège les données dans un environnement sécurisé. 
  • Ses membres disposent d’une habilitation de sécurité conforme aux missions qu’ils doivent exécuter et toutes leur actions dans la banque de données des passagers sont enregistrées, de manière à ce qu’il puisse être contrôlé que chacune de leurs recherches ont un objectif qui relève du champ d’application de la loi ;
  • La loi relative au traitement des données des passagers interdit la collecte et l'utilisation de données sensibles. Les données relatives à l'origine raciale ou ethnique d'une personne, ses convictions religieuses ou philosophiques, ses opinions politiques, son appartenance à une organisation syndicale, ou les données concernant son état de santé, sa vie sexuelle ou son orientation sexuelle ne peuvent être  ni demandées ni conservées;
  • Après 6 mois, les données PNR sont dépersonnalisées, de telle sorte que l'intéressé ne peut plus être identifié immédiatement dans la banque de données du BelPIU;
  • Les données sont conservées pendant 5 ans. Ensuite, elles sont automatiquement supprimées de la banque de données;
  • Le transfert de données PNR à d'autres Etats membres de l'UE et à des pays tiers est seulement possible dans des conditions très limitées ;
  • Un délégué à la protection des données (DPO) est désigné pour veiller au respect de ces différentes mesures.
  • Toute question ayant trait au traitement de vos données personnelles peut être adressée au DPO, à l’adresse mail suivante : belpiu.dpo@ibz.fgov.be. DPO - Rue de Louvain 1, 1000 Bruxelles. 
  • L’exercice des droits reconnus par la législation de la protection des données s’effectue auprès du fonctionnaire dirigeant de l’UIP (belpiu.dir@ibz.fgov.be) et le cas échéant, auprès du Comité Permanent R (www.comiteri.be). 

En résumé :

  • Passenger Name Record (PNR) : dossier relatif aux conditions de voyage de chaque passager permettant le traitement et le contrôle des réservations par le transporteur et l'opérateur de voyage (ex. nom, adresse, numéro de téléphone).
  • Advance Passenger Information (API) : données d'enregistrement d'un passager dont font partie notamment le nom et le numéro d'un document d'identité.
  • BelPIU : Belgian Passenger Information Unit, ou Unité d’information des passagers, créée pour collecter, conserver et traiter les données des passagers transmises par les transporteurs et les opérateurs de voyage.
  • Un arrêté royal par secteur détermine la spécificité de la collecte et de la transmission des données.
  • Données des passagers à destination de, en provenance de et transitant par la Belgique pour les secteurs suivants :
    • Transport aérien
    • Transport par bus
    • Trains à grande vitesse
    • Navires à passagers
    • Opérateurs de voyage et agences de voyage
  • Les données sont dépersonnalisées après six mois et conservées pour une durée maximale de cinq ans.