30 NOVEMBRE 2009. - Loi portant assentiment à l'Accord entre l'Union européenne et les Etats-Unis d'Amérique sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au Ministère américain de la Sécurité intérieure (DHS) (Accord PNR 2007), fait à Bruxelles le 23 juillet 2007 et à Washington le 26 juillet 2007 (1) (2)

ALBERT II, Roi des Belges, A tous, présents et à venir, Salut.

Les Chambres ont adopté et Nous sanctionnons ce qui suit :

Article 1er.La présente loi règle une matière visée à l'article 77 de la Constitution.

Art. 2.L'Accord entre l'Union européenne et les Etats-Unis d'Amérique sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au Ministère américain de la Sécurité intérieure (DHS) (Accord PNR 2007), fait à Bruxelles le 23 juillet 2007 et à Washington le 26 juillet 2007, sortira son plein et entier effet.

Promulguons la présente loi, ordonnons qu'elle soit revêtue du sceau de l'Etat et publiée au Moniteur belge.

Donné à Châteauneuf-de-Grasse, le 30 novembre 2009.

ALBERT Par le Roi : Le Premier Ministre, Y. LETERME Le Ministre des Affaires étrangères, S. VANACKERE Le Ministre de la Justice, S. DE CLERCK Le Ministre de l'Intérieur, Mme A. TURTELBOOM Le Secrétaire d'Etat à la Mobilité, E. SCHOUPPE Scellé du sceau de l'Etat : Le Ministre de la Justice S. DE CLERCK Note (1) Session 2008-2009 et 2009-2010 Sénat : Documents.- Projet de loi déposé le 1er octobre 2009, n° 4-1432/1. - Rapport n° 4-1432/2.

Annales parlemtnaires. - Discussion, séance du 12 novembre 2009. - Vote, séance du 12 novembre 2009.

Chambre : Documents. - Projet transmis par le Sénat, n° 52-2246/1. - Texte adopté en séance plénière et soumis à la sanction royale, n° 52-2246/2.

Annales parlementaires. - Discussion, séance du 27 novembre 2009. - Vote, séance du 27 novembre 2009. (2) Cet Accord n'est pas encore entré en vigueur conformément à son paragraphe 9.Il s'applique à titre provisoire à compter de la date de sa signature. (par. 9 de l'Accord) .

Agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security (DHS) (2007 PNR Agreement) THE EUROPEAN UNION and THE UNITED STATES OF AMERICA, DESIRING to prevent and combat terrorism and transnational crime effectively as a means of protecting their respective democratic societies and common values, RECOGNISING that information sharing is an essential component in the fight against terrorism and transnational crime and that in this context the use of PNR data is an important tool, RECOGNISING that, in order to safeguard public security and for law enforcement purposes, rules should be laid down on the transfer of PNR data by air carriers to DHS, RECOGNISING the importance of preventing and combating terrorism and related crimes, and other serious crimes that are transnational in nature, including organized crime, while respecting fundamental rights and freedoms, notably privacy, RECOGNISING that U.S. and European privacy law and policy share a common basis and that any differences in the implementation of these principles should not present an obstacle to cooperation between the U.S. and the European Union (EU), HAVING REGARD to international conventions, U.S. statutes, and regulations requiring each air carrier operating passenger flights in foreign air transportation to or from the United States to make PNR data available to DHS to the extent they are collected and contained in the air carrier's automated reservation/departure control systems (hereinafter reservation systems), and comparable requirements implemented in the EU, HAVING REGARD to Article 6 paragraph 2 of the Treaty on European Union on respect for fundamental rights, and in particular to the related right to the protection of personal data, NOTING the former agreements regarding PNR between the European Community and the United States of America of 28 May 2004 and between the European Union and the United States of America of 19 October 2006, HAVING REGARD to relevant provisions of the Aviation Transportation Security Act of 2001, the Homeland Security Act of 2002, the Intelligence Reform and Terrorism Prevention Act of 2004 and Executive Order 13388 regarding cooperation between agencies of the United States government in combating terrorism, as well as the Privacy Act of 1974, Freedom of Information Act and the E-Government Act of 2002, NOTING that the European Union should ensure that air carriers with reservation systems located within the European Union make available PNR data to DHS and comply with the technical requirements for such transfers as detailed by DHS, AFFIRMING that this Agreement does not constitute a precedent for any future discussions or negotiations between the United States and the European Union, or between either of the Parties and any State regarding the processing and transfer of PNR or any other form of data, SEEKING to enhance and encourage cooperation between the Parties in the spirit of transatlantic partnership, HAVE AGREED AS FOLLOWS : (1) On the basis of the assurances in DHS's letter explaining its safeguarding of PNR (the DHS letter), the European Union will ensure that air carriers operating passenger flights in foreign air transportation to or from the United States of America will make available PNR data contained in their reservation systems as required by DHS.(2) DHS will immediately transition to a push system for the transmission of data by such air carriers no later than January 1, 2008 for all such air carriers that have implemented such a system that complies with DHS's technical requirements.For those air carriers that do not implement such a system, the current systems shall remain in effect until the carriers have implemented a system that complies with DHS's technical requirements. Accordingly, DHS will electronically access the PNR from air carriers ' reservation systems located within the territory of the Member States of the European Union until there is a satisfactory system in place allowing for the transmission of such data by the air carriers. (3) DHS shall process PNR data received and treat data subjects concerned by such processing in accordance with applicable U.S. laws, constitutional requirements, and without unlawful discrimination, in particular on the basis of nationality and country of residence. The DHS's letter sets forth these and other safeguards. (4) DHS and the EU, will periodically review the implementation of this Agreement, the DHS letter, and U.S. and EU PNR policies and practices with a view to mutually assuring the effective operation and privacy protection of their systems. (5) By this Agreement, DHS expects that it is not being asked to undertake data protection measures in its PNR system that are more stringent than those applied by European authorities for their domestic PNR systems.DHS does not ask European authorities to adopt data protection measures in their PNR systems that are more stringent than those applied by the U.S. for its PNR system. If its expectation is not met, DHS reserves the right to suspend relevant provisions of the DHS letter while conducting consultations with the EU with a view to reaching a prompt and satisfactory resolution. In the event that a PNR system is implemented in the European Union or in one or more of its Member States that requires air carriers to make available to authorities PNR data for persons whose travel itinerary includes a flight to or from the European Union, DHS shall, strictly on the basis of reciprocity, actively promote the cooperation of the airlines within its jurisdiction. (6) For the application of this Agreement, DHS is deemed to ensure an adequate level of protection for PNR data transferred from the European Union.Concomitantly, the EU will not interfere with relationships between the United States and third countries for the exchange of passenger information on data protection grounds. (7) The U.S. and the EU will work with interested parties in the aviation industry to promote greater visibility for notices describing PNR systems (including redress and collection practices) to the travelling public and will encourage airlines to reference and incorporate these notices in the official contract of carriage. (8) The exclusive remedy if the EU determines that the U.S. has breached this Agreement is the termination of this Agreement and the revocation of the adequacy determination referenced in paragraph (6).

The exclusive remedy if the U.S. determines that the EU has breached this agreement is the termination of this Agreement and the revocation of the DHS letter. (9) This Agreement will enter into force on the first day of the month after the date on which the Parties have exchanged notifications indicating that they have completed their internal procedures for this purpose.This Agreement will apply provisionally as of the date of signature. Either Party may terminate or suspend this Agreement at any time by notification through diplomatic channels. Termination will take effect thirty (30) days from the date of notification thereof to the other Party unless either Party deems a shorter notice period essential for its national security or homeland security interests.

This Agreement and any obligations thereunder will expire and cease to have effect seven years after the date of signature unless the parties mutually agree to replace it.

This Agreement is not intended to derogate from or amend the laws of the United States of America or the European Union or its Member States. This Agreement does not create or confer any right or benefit on any other person or entity, private or public.

This Agreement shall be drawn up in duplicate in the English language.

It shall also be drawn up in the Bulgarian, Czech, Danish, Dutch, Estonian, Finnish, French, German, Greek, Hungarian, Italian, Latvian, Lithuanian, Maltese, Polish, Portuguese, Romanian, Slovak, Slovenian, Spanish, and Swedish languages, and the Parties shall approve these language versions. Once approved, the versions in these languages shall be equally authentic.

Done at Brussels, 23 July 2007 Done at Washington, 26 July 2007. letter to EU [(Salutation) In response to the inquiry of the European Union and to reiterate the importance that the United States government places on the protection of individual privacy, this letter is intended to explain how the United States Department of Homeland Security (DHS) handles the collection, use and storage of Passenger Name Records (PNR). None of the policies articulated herein create or confer any right or benefit on any person or party, private or public, nor any remedy other than that specified in the Agreement between the EU and the U.S. on the processing and transfer of PNR by air carriers to DHS signed in July 2007 (the " Agreement "). Instead, this letter provides the assurances and reflects the policies which DHS applies to PNR data derived from flights between the U.S. and European Union (EU PNR) under U.S. law.

I. Purpose for which PNR is used DHS uses EU PNR strictly for the purpose of preventing and combating : (1) terrorism and related crimes;(2) other serious crimes, including organized crime, that are transnational in nature; and (3) flight from warrants or custody for crimes described above. PNR may be used where necessary for the protection of the vital interests of the data subject or other persons, or in any criminal judicial proceedings, or as otherwise required by law. DHS will advise the EU regarding the passage of any U.S. legislation which materially affects the statements made in this letter.

II. Sharing of PNR DHS shares EU PNR data only for the purposes named in Article I. DHS treats EU PNR data as sensitive and confidential in accordance with U.S. laws and, at its discretion, provides PNR data only to other domestic government authorities with law enforcement, public security, or counterterrorism functions, in support of counterterrorism, transnational crime and public security related cases (including threats, flights, individuals and routes of concern) they are examining or investigating, according to law, and pursuant to written understandings and U.S. law on the exchange of information between U.S. government authorities. Access shall be strictly and carefully limited to the cases described above in proportion to the nature of the case.

EU PNR data is only exchanged with other government authorities in third countries after consideration of the recipient's intended use(s) and ability to protect the information. Apart from emergency circumstances, any such exchange of data occurs pursuant to express understandings between the parties that incorporate data privacy protections comparable to those applied to EU PNR by DHS, as described in the second paragraph of this article.

III. Types of information collected Most data elements contained in PNR data can be obtained by DHS upon examining an individual's airline ticket and other travel documents pursuant to its normal border control authority, but the ability to receive this data electronically significantly enhances DHS's ability to focus its resources on high risk concerns, thereby facilitating and safeguarding bona fide travel.

Types of EU PNR Collected : 1. PNR record locator code 2.Date of reservation/issue of ticket 3. Date(s) of intended travel 4.Name(s) 5. Available frequent flier and benefit information (i.e. free tickets, upgrades, etc.) 6. Other names on PNR, including number of travelers on PNR 7.All available contact information (including originator information) 8. All available payment/billing information (not including other transaction details linked to a credit card or account and not connected to the travel transaction) 9.Travel itinerary for specific PNR 10. Travel agency/travel agent 11.Code share information 12. Split/divided information 13.Travel status of passenger (including confirmations and check-in status) 14. Ticketing information, including ticket number, one-way tickets and Automated Ticket Fare Quote 15.All baggage information 16. Seat information, including seat number 17.General remarks including OSI, SSI and SSR information 18. Any collected APIS information 19.All historical changes to the PNR listed in numbers 1 to 18 To the extent that sensitive EU PNR data (i.e. personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, and data concerning the health or sex life of the individual), as specified by the PNR codes and terms which DHS has identified in consultation with the European Commission, are included in the above types of EU PNR data, DHS employs an automated system which filters those sensitive PNR codes and terms and does not use this information. Unless the data is accessed for an exceptional case, as described in the next paragraph, DHS promptly deletes the sensitive EU PNR data.

If necessary, in an exceptional case where the life of a data subject or of others could be imperilled or seriously impaired, DHS officials may require and use information in EU PNR other than those listed above, including sensitive data. In that event, DHS will maintain a log of access to any sensitive data in EU PNR and will delete the data within 30 days once the purpose for which it has been accessed is accomplished and its retention is not required by law. DHS will provide notice normally within 48 hours to the European Commission (DG JLS) that such data, including sensitive data, has been accessed.

IV. Access and redress DHS has made a policy decision to extend administrative Privacy Act protections to PNR data stored in the ATS regardless of the nationality or country of residence of the data subject, including data that relates to European citizens. Consistent with U.S. law, DHS also maintains a system accessible by individuals, regardless of their nationality or country of residence, for providing redress to persons seeking information about or correction of PNR. These policies are accessible on the DHS website, www.dhs.gov.

Furthermore, PNR furnished by or on behalf of an individual shall be disclosed to the individual in accordance with the U.S. Privacy Act and the U. S. Freedom of Information Act (FOIA). FOIA permits any person (regardless of nationality or country of residence) access to a U.S. federal agency's records, except to the extent such records (or a portion thereof) are protected from disclosure by an applicable exemption under the FOIA. DHS does not disclose PNR data to the public, except to the data subjects or their agents in accordance with U.S. law. Requests for access to personally identifiable information contained in PNR that was provided by the requestor may be submitted to the FOIA/PA Unit, Office of Field Operations, U.S. Customs and Border Protection, Room 5.5-C, 1300 Pennsylvania Avenue, NW, Washington, DC 20229 (phone : (202) 344-1850 and fax : (202) 344-2791).

In certain exceptional circumstances, DHS may exercise its authority under FOIA to deny or postpone disclosure of all or part of the PNR record to a first part requester, pursuant to Title 5, United States Code, section 552(b). Under FOIA any requester has the authority to administratively and judicially challenge DHS's decision to withhold information.

V. Enforcement Administrative, civil, and criminal enforcement measures are available under U.S. law for violations of U.S. privacy rules and unauthorized disclosure of U.S. records.

Relevant provisions include but are not limited to Title 18, United States Code, sections 641 and 1030 and Title 19, Code of Federal Regulations, section 103.34.

VI. Notice DHS has provided information to the travelling public about its processing of PNR data through publications in the Federal Register and on its website. DHS further will provide to airlines a form of notice concerning PNR collection and redress practices to be available for public display. DHS and the EU will work with interested parties in the aviation industry to promote greater visibility of this notice.

VII. Data retention DHS retains EU PNR data in an active analytical database for seven years, after which time the data will be moved to dormant, non-operational status. Data in dormant status will be retained for eight years and may be accessed only with approval of a senior DHS official designated by the Secretary of Homeland Security and only in response to an identifiable case, threat, or risk. We expect that EU PNR data shall be deleted at the end of this period; questions of whether and when to destroy PNR data collected in accordance with this letter will be addressed by DHS and the EU as part of future discussions. Data that is related to a specific case or investigation may be retained in an active database until the case or investigation is archived. It is DHS ' intention to review the effect of these retention rules on operations and investigations based on its experience over the next seven years. DHS will discuss the results of this review with the EU. The above mentioned retention periods also apply to EU PNR data collected on the basis of the Agreements between the EU and the U.S., of May 28, 2004 and October 19, 2006.

VIII. Transmission Given our recent negotiations, you understand that DHS is prepared to move as expeditiously as possible to a « push » system of transmitting PNR from airlines operating flights between the EU and the U.S. to DHS. Thirteen airlines have already adopted this approach. The responsibility for initiating a transition to « push » rests with the carriers, who must make resources available to migrate their systems and work with DHS to comply with DHS's technical requirements. DHS will immediately transition to such a system for the transmission of data by such air carriers no later than January 1, 2008 for all such air carriers that have implemented a system that complies with all DHS technical requirements. For those air carriers that do not implement such a system the current system shall remain in effect until the air carriers have implemented a system that is compatible with DHS technical requirements for the transmission of PNR data. The transition to a « push » system, however, does not confer on airlines any discretion to decide when, how or what data to push. That decision is conferred on DHS by U.S. law.

Under normal circumstances DHS will receive an initial transmission of PNR data 72 hours before a scheduled departure and afterwards will receive updates as necessary to ensure data accuracy. Ensuring that decisions are made based on timely and complete data is among the most essential safeguards for personal data protection and DHS works with individual carriers to build this concept into their push systems. DHS may require PNR prior to 72 hours before the scheduled departure of the flight, when there is an indication that early access is necessary to assist in responding to a specific threat to a flight, set of flights, route, or other circumstances associated with the purposes defined in Article I. In exercising this discretion, DHS will act judiciously and with proportionality.

IX. Reciprocity During our recent negotiations we agreed that DHS expects that it is not being asked to undertake data protection measures in its PNR system that are more stringent than those applied by European authorities for their domestic PNR systems. DHS does not ask European authorities to adopt data protection measures in their PNR systems that are more stringent than those applied by the U.S. for its PNR system. If its expectation is not met, DHS reserves the right to suspend relevant provisions of the DHS letter while conducting consultations with the EU with a view to reaching a prompt and satisfactory resolution. In the event that an airline passenger information system is implemented in the European Union or in one or more of its Member States that requires air carriers to make available to authorities PNR data for persons whose travel itinerary includes a flight between the U.S. and the European Union, DHS intends, strictly on the basis of reciprocity, to actively promote the cooperation of the airlines within its jurisdiction.

In order to foster police and judicial cooperation, DHS will encourage the transfer of analytical information flowing from PNR data by competent U.S. authorities to police and judicial authorities of the Member States concerned and, where appropriate, to Europol and Eurojust. DHS expects that the EU and its Member States will likewise encourage their competent authorities to provide analytical information flowing from PNR data to DHS and other U.S. authorities concerned.

X. Review DHS and the EU will periodically review the implementation of the agreement, this letter, U.S. and EU PNR policies and practices and any instances in which sensitive data was accessed, for the purpose of contributing to the effective operation and privacy protection of our practices for processing PNR. In the review, the EU will be represented by the Commissioner for Justice, Freedom and Security, and DHS will be represented by the Secretary of Homeland Security, or by such mutually acceptable official as each may agree to designate. The EU and DHS will mutually determine the detailed modalities of the reviews.

The U.S. will reciprocally seek information about Member State PNR systems as part of this periodic review, and representatives of Member States maintaining PNR systems will be invited to participate in the discussions.

We trust that this explanation has been helpful to you in understanding how we handle EU PNR data.

Sincerely, EU letter to U.S. (Salutation) Thank you very much for your letter to the Council Presidency and the Commission explaining how DHS handles PNR data.

The assurances explained in your letter provided to the European Union allow the European Union to deem, for the purposes of the international agreement signed between the United States and European Union on the processing and transfer of PNR in July 2007, that DHS ensures an adequate level of data protection.

Based on this finding, the EU will take all necessary steps to discourage international organisations or third countries from interfering with any transfers of EU PNR to the United States. The EU and its Member States will also encourage their competent authorities to provide analytical information flowing from PNR data to DHS and other U.S. authorities concerned.

We look forward to working with you and the aviation industry to ensure that passengers are informed about how governments may use their information. (Salutary close)

Accord entre l'Union européenne et les Etats-Unis d'Amérique sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au Ministère américain de la sécurité intérieure (DHS) (Accord PNR 2007) l'Union européenne et Les Etats-Unis d'Amérique, Désireux de prévenir et de combattre efficacement le terrorisme et la criminalité transnationale afin de protéger leurs sociétés démocratiques respectives et les valeurs qui leur sont communes, Reconnaissant que le partage des informations est un élément essentiel dans la lutte contre le terrorisme et la criminalité transnationale et que, dans ce contexte, l'utilisation des données PNR est un outil important, Reconnaissant qu'il convient, pour préserver la sécurité publique et à des fins de maintien de l'ordre, d'établir des règles relatives au transfert de données PNR par les transporteurs aériens au DHS, Reconnaissant qu'il importe de prévenir et de combattre le terrorisme et les délits qui y sont liés, ainsi que d'autres délits graves de nature transnationale, y compris la criminalité organisée, tout en respectant les droits et libertés fondamentaux, et notamment le droit au respect de la vie privée, Reconnaissant que la législation et la politique des Etats-Unis et de l'Union européenne en matière de respect de la vie privée ont une base commune et que les différences éventuelles dans la mise en oeuvre de ces principes ne devraient pas constituer un obstacle à la coopération entre les Etats-Unis et l'Union européenne, Vu les conventions internationales, les lois et règlements américains exigeant de tout transporteur aérien assurant un service de transport international de passagers à destination ou au départ des Etats-Unis qu'il mette à la disposition du DHS les données des dossiers passagers (Passenger Name Record, ci-après dénommé « PNR ») qui sont recueillies et stockées dans son système informatique de contrôle des réservations et des départs (ci-après dénommé « système de réservation ») et les exigences comparables mises en oeuvre dans l'UE, Vu l'article 6, paragraphe 2, du traité sur l'Union européenne concernant le respect des droits fondamentaux, et notamment le droit à la protection des données à caractère personnel qui s'y rattache, Prenant acte des accords antérieurs relatifs aux données PNR, respectivement du 28 mai 2004 entre la Communauté européenne et les Etats-Unis d'Amérique et du 19 octobre 2006 entre l'Union européenne et les Etats-Unis d'Amérique, Vu les dispositions applicables de la loi sur la sécurité du transport aérien (Aviation Transportation Security Act) de 2001, de la loi sur la sécurité intérieure (Homeland Security Act) de 2002, de la loi sur la réforme des services de renseignement et la prévention du terrorisme (Intelligence Reform and Terrorism Prevention Act) de 2004 et du décret n° 13388 relatif à la coopération entre les agences du Gouvernement américain en matière de lutte contre le terrorisme (Executive Order 13388 regarding cooperation between agencies of the United States government in combating terrorism) ainsi que de la loi sur le respect de la vie privée (Privacy Act) de 1974, de la loi sur la liberté de l'information (Freedom of Information Act) et de la loi sur l'administration en ligne (E-Government Act) de 2002, Notant que l'Union européenne devrait veiller à ce que les transporteurs aériens disposant de systèmes de réservation situés dans l'Union européenne mettent leurs données PNR à la disposition du DHS et satisfassent aux exigences techniques requises pour ces transferts précisées par le DHS, Affirmant que le présent accord ne constitue pas un précédent pour les discussions ou les négociations qui pourraient se tenir à l'avenir entre les Etats-Unis et l'Union européenne, ou entre l'une des parties et tout autre Etat, au sujet du traitement et du transfert de données PNR ou de toute autre forme de données, Cherchant à renforcer et à promouvoir la coopération entre les parties dans l'esprit du partenariat transatlantique, Sont convenus de ce qui suit : (1) Se fondant sur les assurances données dans la lettre d'explication du DHS sur la protection des données PNR (ci-après dénommée « la lettre du DHS »), l'Union européenne veillera à ce que les transporteurs aériens assurant un service de transport international de passagers à destination ou au départ des Etats-Unis rendent disponibles les données PNR stockées dans leurs systèmes de réservation comme l'exige le DHS.(2) Le DHS passera à un système d'exportation pour la transmission des données par ces transporteurs aériens dans les meilleurs délais, au plus tard le 1er janvier 2008 pour tous les transporteurs aériens qui ont mis en oeuvre un système conforme aux exigences techniques du DHS. Pour les transporteurs aériens qui n'ont pas mis en oeuvre un tel système, les systèmes actuels restent en vigueur jusqu'à ce que les transporteurs aient mis en oeuvre un système conforme aux exigences techniques du DHS. Par conséquent, le DHS accédera, par voie électronique, au PNR provenant des systèmes de réservation des transporteurs aériens situés sur le territoire des Etats membres de l'Union européenne jusqu'à ce qu'un système satisfaisant soit mis en place pour permettre la transmission de ces données par les transporteurs aériens. (3) Le DHS traite les données PNR reçues et les personnes concernées par ce traitement conformément aux lois et exigences constitutionnelles américaines applicables, sans discrimination illégitime, en particulier sur la base de la nationalité et du pays de résidence.La lettre du DHS expose ces garanties ainsi que d'autres. (4) Le DHS et l'UE réexamineront à intervalles réguliers la mise en oeuvre du présent accord, de la lettre du DHS et des mesures et pratiques des Etats-Unis et de l'UE en matière de données PNR afin de veiller mutuellement au fonctionnement efficace de leurs systèmes et à la protection de la vie privée assurée par ces derniers.(5) En vertu du présent accord, le DHS compte sur ce qu'il ne lui est pas demandé de prendre, dans son système PNR, des mesures de protection des données qui soient plus strictes que celles appliquées par les autorités européennes dans leurs systèmes PNR nationaux.Le DHS ne demande pas aux autorités européennes d'adopter, dans leurs systèmes PNR, des mesures de protection des données qui soient plus strictes que celles appliquées par les Etats-Unis dans leur système PNR. Si cette attente n'est pas satisfaite, le DHS se réserve le droit de suspendre les dispositions pertinentes de sa lettre et de mener des consultations avec l'UE en vue de parvenir à une solution rapide et satisfaisante. En cas de mise en oeuvre d'un système PNR dans l'Union européenne ou dans un ou plusieurs de ses Etats membres faisant obligation aux transporteurs aériens de mettre à la disposition des autorités les données PNR des passagers dont le voyage inclut un vol à destination ou au départ de l'Union européenne, le DHS encourage activement, dans le strict respect du principe de réciprocité, les compagnies aériennes relevant de sa compétence à coopérer. (6) Aux fins de l'application du présent accord, le DHS est réputé assurer un niveau adéquat de protection des données PNR transférées de l'Union européenne.Dans le même temps, l'UE n'interviendra pas, pour des motifs de protection des données, dans les relations entre les Etats-Unis et des pays tiers aux fins de l'échange d'informations sur les passagers. (7) Les Etats-Unis et l'UE coopéreront avec les parties intéressées de l'industrie aéronautique pour mieux faire connaître les avis décrivant les systèmes de données PNR (y compris les pratiques en matière de collecte et de rectification) aux voyageurs et encouragera les compagnies aériennes à mentionner ces avis et à les intégrer dans le contrat officiel de transport.(8) Au cas où l'UE constaterait que les Etats-Unis ont violé le présent accord, la seule voie de droit est la dénonciation de celui-ci et la rétractation de la présomption relative au niveau adéquat de protection visée au point 6.Au cas où ce sont les Etats-Unis qui constateraient que l'UE a violé le présent accord la seule voie de droit est la dénonciation de celui-ci et la révocation de la lettre du DHS. (9) Le présent accord entrera en vigueur le premier jour du mois suivant la date à laquelle les parties se sont notifié l'accomplissement de leurs procédures internes nécessaires à cet effet.Le présent accord s'appliquera à titre provisoire à compter de la date de sa signature. Chaque partie peut dénoncer ou suspendre le présent accord à tout moment par notification par la voie diplomatique. L'accord cessera d'être applicable trente (30) jours à partir de la date de la notification de la dénonciation à l'autre partie à moins qu'une partie estime qu'un délai de notification plus court est indispensable pour préserver ses intérêts en matière de sécurité nationale ou de sécurité intérieure. Le présent accord et les obligations qui en découlent expirent et cessent d'avoir effet sept ans après la date de signature à moins que les parties décident d'un commun accord de le remplacer.

Le présent accord n'a pas pour objet de déroger à la législation des Etats-Unis d'Amérique ou de l'Union européenne ou de ses Etats membres, ni de la modifier. Il ne crée ni ne confère aucun droit ou avantage sur toute autre personne ou entité, privée ou publique.

Le présent accord est fait en double exemplaire en langue anglaise. Le présent accord est également rédigé en langues allemande, bulgare, danoise, espagnole, estonienne, finnoise, française, grecque, hongroise, italienne, lettone, lituanienne, maltaise, néerlandaise, polonaise, portugaise, roumaine, slovaque, slovène, suédoise et tchèque, et les parties approuvent ces versions linguistiques. Une fois approuvées, ces versions linguistiques font également foi.

Fait à Bruxelles, le 23 juillet 2007.

Fait à Washington, le 26 juillet 2007.

Lettre des Etats-Unis à l'UE (Formule de politesse) En réponse à la demande de renseignements de l'Union européenne et afin de réaffirmer l'importance que revêt pour le Gouvernement des Etats-Unis la protection de la vie privée, la présente lettre vise à expliquer la manière dont le Ministère américain de la Sécurité intérieure (Department of Homeland Security, ci-après dénommé « DHS ») assure la collecte, l'utilisation et le stockage des données des dossiers passagers (Passenger Name Record, ci-après dénommé « PNR »).

Aucune des mesures exposées dans la présente lettre ne crée ni ne confère aucun droit ou avantage sur toute personne ou entité, privée ou publique, ni aucune voie de droit autre que celle prévue dans l'accord entre l'Union européenne et les Etats-Unis sur le traitement et le transfert de données PNR par les transporteurs aériens signé le... 2007 (ci-après dénommé « l'accord »). En revanche, cette lettre présente les assurances données par le DHS et expose les mesures que le DHS applique aux données PNR issues des vols entre les Etats-Unis et l'Union européenne (ci-après dénommées « données PNR de l'UE ») en vertu de la législation américaine.

I. Fins auxquelles les données PNR sont utilisées Le DHS utilise les données PNR de l'UE uniquement aux fins : (1) de prévenir et de combattre le terrorisme et les délits qui y sont liés; (2) de prévenir et de combattre d'autres délits graves de nature transnationale, y compris la criminalité organisée;et (3) d'empêcher que des personnes se soustraient aux mandats et aux mesures de détention provisoire émis à leur encontre concernant les infractions décrites ci-dessus. Les données PNR peuvent être utilisées, le cas échéant, pour la protection des intérêts vitaux de la personne concernée ou d'autres personnes, ou dans le cadre d'une procédure pénale ou de toute autre manière requise par la loi. Le DHS informera l'UE de l'adoption de toute législation américaine qui affecte matériellement les déclarations faites dans la présente lettre.

II. Partage de données PNR Le DHS partage les données PNR de l'UE uniquement aux fins énoncées au point I. Le DHS traite les données PNR de l'UE comme des données sensibles et confidentielles conformément aux lois américaines et communique, s'il le juge utile, les données PNR uniquement aux autres autorités gouvernementales américaines chargées du maintien de l'ordre, de la sécurité publique ou de la lutte contre le terrorisme, pour servir dans le cadre des affaires relatives à la lutte contre le terrorisme, à la criminalité transnationale et à la sécurité publique (y compris lorsqu'il s'agit de menaces, de vols aériens, de personnes ou de lignes aériennes suscitant des préoccupations) qu'elles examinent ou analysent, conformément à la loi et en application des engagements écrits et de la législation américaine sur l'échange d'informations entre les autorités gouvernementales des Etats-Unis. L'accès est strictement et soigneusement limité aux affaires susmentionnées en fonction de leur nature.

Les données PNR de l'UE ne sont échangées avec d'autres autorités gouvernementales de pays tiers qu'après examen de l'utilisation ou des utilisations prévues par le destinataire et de sa capacité à assurer la protection des informations. En dehors des cas d'urgence, ces échanges de données se font en vertu d'engagements exprès entre les parties qui comprennent des dispositions de protection des données à caractère personnel comparables à celles qu'applique le DHS aux données PNR de l'UE visées au deuxième alinéa du présent point.

III. Types d'informations collectées Le DHS peut obtenir la plupart des éléments informatifs contenus dans les données PNR en examinant le billet d'avion d'une personne et d'autres documents de voyage en vertu du pouvoir de contrôle aux frontières dont il est normalement investi, mais la capacité à recevoir ces données par voie électronique augmente de manière considérable la capacité du DHS à axer ses ressources sur les préoccupations de risque élevé, facilitant et préservant ainsi le trafic passagers légitime.

Types de données PNR de l'UE collectées : 1. Code repère du dossier PNR (record locator code) 2.Date de réservation/d'émission du billet 3. Date(s) prévue(s) du voyage 4.Nom(s) 5. Informations disponibles sur « les grands voyageurs » et les programmes de fidélisation (c'est-à-dire billets gratuits, surclassement, etc...) 6. Autres noms figurant dans le PNR, y compris nombre de voyageurs dans le PNR 7.Toutes les informations de contact disponibles (y compris les informations sur la source) 8. Toutes les informations disponibles relatives au paiement/à la facturation disponibles (les autres détails de l'opération liés à la carte de crédit ou au compte et n'ayant pas de lien avec l'opération relative au voyage non inclus) 9.Itinéraire de voyage pour le PNR spécifique 10. Agence de voyage/agent de voyage 11.Informations sur le partage de codes 12. Informations « PNR scindé/divisé » 13.Statut du voyageur (y compris confirmations et statut d'enregistrement) 14. Informations sur l'établissement des billets, y compris le numéro du billet, billets aller simple et données Automated Ticketing Fare Quote (prix du billet) 15.Toutes les informations relatives aux bagages 16. Informations relatives au siège, y compris numéro du siège occupé 17.Remarques générales, y compris données OSI, SSI et SSR 18. Toutes les informations APIS recueillies 19.Historique de tous les changements apportées au PNR assortis des numéros de rubriques 1 à 18 Dans la mesure où des données PNR de l'UE sensibles (à savoir les données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que les données relatives à la santé ou à la vie sexuelle de la personne), telles que précisées par les codes et les termes PNR que le DHS a déterminés en consultation avec la Commission européenne, sont incluses dans les types susmentionnés de données PNR de l'UE, le DHS a recours à un système automatisé qui filtre ces codes et termes PNR sensibles et n'utilise pas ces informations. ÷ moins que l'accès à ces données ne relève d'un cas exceptionnel décrit à l'alinéa suivant, le DHS supprime les données PNR de l'UE sensibles dans les meilleurs délais.

Si cela est nécessaire dans un cas exceptionnel où la vie de la personne concernée ou d'autres personnes pourrait être mise en danger ou subir une atteinte grave, les fonctionnaires du DHS peuvent demander et utiliser des informations figurant dans les données PNR de l'UE autres que celles énumérées ci-dessus, y compris des données sensibles. Dans ce cas, le DHS tiendra un registre des accès à toute donnée sensible provenant des PNR de l'UE et supprimera ces données dans un délai de trente jours après que les fins pour lesquelles les données ont été consultées ont été atteintes et si leur conservation n'est pas exigée par la loi. Le DHS fera normalement savoir à la Commission européenne (DG JLS) dans les quarante-huit heures que ces données, y compris des données sensibles, ont été consultées.

IV. Droit d'accès et droit de regard Le DHS a pris une décision politique visant à étendre les protections administratives prévues par la loi sur le respect de la vie privée (Privacy Act) aux données PNR stockées dans le système automatisé de ciblage (ATS) quels que soient la nationalité ou le pays de résidence de la personne concernée, y compris aux données relatives aux citoyens européens. Conformément au droit américain, le DHS tient aussi un système accessible aux personnes, quels que soient leur nationalité ou leur pays de résidence, afin de répondre aux personnes demandant des informations sur les données PNR ou la correction de celles-ci. Ces mesures sont accessibles sur le site Internet du DHS, www.dhs.gov En outre, les données PNR fournies par une personne ou en son nom sont communiquées à la dite personne conformément à la loi américaine sur le respect de la vie privée (Privacy Act) et à la loi américaine sur la liberté de l'information (Freedom of Information Act, ci-après dénommé « FOIA »). La FOIA autorise toute personne (quels que soient sa nationalité ou son pays de résidence) à consulter les registres d'une agence fédérale des Etats-Unis, sauf si ces registres échappent en tout ou partie à la divulgation en vertu d'une dérogation prévue par ladite loi. Le DHS ne communique pas les données PNR au public, à l'exception des personnes concernées ou de leurs agents conformément à la législation américaine. Les demandes d'accès aux données personnellement identifiables contenues dans les PNR fournies par le demandeur peuvent être envoyées au FOIA/PA Unit, Office of Fields Operations, U.S. Customs and Border Protection, Room 5.5-C, 1300 Pennsylvania Avenue, NW, Washington, DC 20229 (tél. : (202) 344-1850 et fax : (202) 344-2791).

Dans certaines circonstances exceptionnelles, le DHS peut exercer ses pouvoirs au titre de la FOIA pour refuser ou retarder la divulgation de la totalité ou d'une partie du dossier PNR à un demandeur au premier chef, conformément au titre 5 du code des Etats-Unis, section 552 (b). En vertu de la FOIA, tout demandeur est habilité à contester dans le cadre d'une procédure administrative ou judiciaire la décision du DHS de ne pas communiquer les informations.

V. Sanctions La législation des Etats-Unis prévoit des sanctions administratives, civiles et pénales en cas de violations des dispositions américaines en matière de respect de la vie privée et de divulgation non autorisée de dossiers des Etats-Unis. Les dispositions concernées comprennent entre autres le titre 18 du code des Etats-Unis, sections 641 et 1030 et le titre 19 du code des réglementations fédérales, section 103.34.

VI. Avis Le DHS a fourni aux voyageurs des informations sur le traitement des données PNR auquel il procède, par le biais de publications dans le registre fédéral (Federal Register) et sur son site Internet. Le DHS fournira également aux compagnies aériennes un avis standard à mettre à la disposition du public concernant la collecte des données PNR et les voies de recours. Le DHS et l'UE coopéreront avec les parties intéressées de l'industrie aéronautique pour mieux faire connaître ces avis.

VII. Conservation des données Le DHS conserve les données PNR de l'UE dans une base de données analytique active pendant sept ans, après quoi les données acquerront un statut inactif, non opérationnel. Les données ayant ce statut seront conservées pendant huit ans et il ne sera possible d'y accéder qu'avec l'accord d'un haut fonctionnaire du DHS désigné par le secrétaire à la sécurité intérieure et uniquement en réponse à une situation, une menace ou un risque déterminés. Les données PNR de l'UE devraient être détruites à la fin de cette période; la question de savoir si et quand il convient de détruire les données PNR collectées conformément à la présente lettre sera examinée par le DHS et l'Union européenne dans le cadre de discussions futures. Les données qui sont liées à un cas ou une enquête spécifiques peuvent être conservées dans une base de données active jusqu'à ce que le cas ou l'enquête soient archivés. Le DHS a l'intention de réexaminer l'effet de ces dispositions en matière de conservation sur les opérations et les enquêtes en se fondant sur l'expérience acquise durant les sept prochaines années. Le DHS discutera des résultats de cet examen avec l'UE. Les périodes de conservation mentionnées ci-dessus s'appliquent aussi aux données PNR de l'UE collectées sur la base des accords entre l'UE et les Etats-Unis du 28 mai 2004 et du 19 octobre 2006.

VIII. Transmission Compte tenu de nos récentes négociations, vous comprenez que le DHS est disposé à passer aussi rapidement que possible à un « système d'exportation » pour transmettre au DHS le PNR provenant des compagnies aériennes assurant des vols entre l'UE et les Etats-Unis.

Treize compagnies aériennes ont déjà adopté cette approche. C'est aux transporteurs qu'il incombe d'amorcer le passage au système d'exportation; ils doivent pour cela mettre à disposition les ressources nécessaires à la migration de leurs systèmes et oeuvrer avec le DHS pour se mettre en conformité avec les exigences techniques de celui-ci. Le DHS passera à ce système de transmission des données par les transporteurs aériens dans les meilleurs délais, au plus tard le 1er janvier 2008 pour tous les transporteurs aériens qui ont mis en oeuvre un système conforme aux exigences techniques du DHS. Pour les transporteurs aériens qui n'ont pas mis en oeuvre un tel système, le système actuel reste en vigueur jusqu'à ce que les transporteurs aient mis en oeuvre un système compatible avec les exigences techniques du DHS pour la transmission des données PNR. Le passage à un système d'exportation ne confère toutefois pas aux compagnies aériennes de marge d'appréciation pour décider quelles données exporter, ni quand ou comment le faire. Le droit américain confère ce pouvoir de décision au DHS. Dans des circonstances normales, le DHS recevra un transmission initiale des données PNR soixante-douze heures avant un départ prévu et recevra ensuite, le cas échéant, des mises à jour pour garantir l'exactitude des données. Veiller à ce que les décisions soient prises sur la base de données disponibles en temps utile et complètes constitue l'une des garanties les plus fondamentales pour la protection des données à caractère personnel et le DHS s'emploie avec les différents transporteurs à intégrer cette approche dans leurs systèmes d'exportation. Le DHS peut demander les données PNR plus de soixante-douze heures avant le départ prévu du vol lorsqu'il est indiqué qu'un accès rapide à ces données est nécessaire pour faire face plus facilement à une menace particulière contre un vol, une série de vols ou une ligne aérienne, ou à d'autres circonstances liées aux fins définies au point I. Dans l'exercice de ce pouvoir discrétionnaire, le DHS agira de façon judicieuse et proportionnée.

IX. Réciprocité Au cours de nos récentes négociations, nous sommes convenus que le DHS compte sur ce qu'il ne lui est pas demandé de prendre, dans son système de données PNR, des mesures de protection des données qui soient plus strictes que celles appliquées par les autorités européennes dans leurs systèmes PNR nationaux. Le DHS ne demande pas aux autorités européennes d'adopter, dans leurs systèmes de données PNR, des mesures de protection des données qui soient plus strictes que celles appliquées par les Etats-Unis dans leur système de données PNR. Si cette attente n'est pas satisfaite, le DHS se réserve le droit de suspendre les dispositions pertinentes de sa lettre et de mener des consultations avec l'UE en vue de parvenir à une solution rapide et satisfaisante. En cas de mise en oeuvre d'un système de données PNR dans l'Union européenne ou dans un ou plusieurs de ses Etats membres faisant obligation aux transporteurs aériens de mettre à la disposition des autorités les données PNR des passagers dont le voyage inclut un vol entre les Etats-Unis et l'Union européenne, le DHS encourage activement, uniquement en vertu du principe de réciprocité, les compagnies aériennes relevant de sa compétence à coopérer.

Afin de renforcer la coopération policière et judiciaire, le DHS favorisera le transfert d'informations analytiques provenant des données PNR par les autorités compétentes américaines aux services de police et aux autorité judiciaires des Etats membres concernés et, le cas échéant, à Europol et Eurojust. Le DHS compte que l'UE et ses Etats membres encourageront de même leurs autorités compétentes à fournir des informations analytiques provenant des données PNR au DHS et aux autres autorités américaines concernées.

X. Réexamen Le DHS et l'UE réexamineront à intervalles réguliers la mise en oeuvre de l'accord, de la présente lettre, des mesures et pratiques des Etats-Unis et de l'UE en matière de données PNR et tout cas d'accès à des données sensibles afin de contribuer au fonctionnement efficace de nos pratiques de traitement des données PNR et à la protection de la vie privée qu'elles assurent. Dans le cadre du réexamen, l'UE sera représentée par le membre de la Commission chargé de la justice, de la liberté et de la sécurité et le DHS sera représenté par le secrétaire à la sécurité intérieure, les deux parties pouvant également désigner, pour les représenter, un fonctionnaire qui soit acceptable par chacune d'entre elles. L'UE et le DHS détermineront ensemble dans le détail les modalités des réexamens.

Les Etats-Unis demanderont sur une base de réciprocité des informations sur les systèmes PNR des Etats membres dans le cadre de ce réexamen périodique, et les représentants des Etats membres disposant de systèmes PNR seront invités à participer aux discussions.

Nous ne doutons pas que cette explication vous a aidé à comprendre la manière dont nous traitons les données PNR de l'UE. (Formule de politesse) Lettre de l'UE aux Etats-Unis (Formule de politesse) Nous vous remercions vivement pour votre lettre adressée à la présidence du Conseil et à la Commission dans laquelle vous expliquez la manière dont le DHS traite les données PNR. Les assurances que vous donnez à l'Union européenne telles qu'elles sont exposées dans votre lettre permettent à l'Union européenne d'estimer que, aux fins de l'accord international signé entre les Etats-Unis et l'Union européenne sur le traitement et le transfert des données PNR le... 2007, le DHS assure un niveau adéquat de protection des données PNR. En se fondant sur cette appréciation, l'UE prendra toutes les mesures nécessaires pour décourager les organisations internationales ou les pays tiers de toute intervention dans les transferts de données PNR de l'UE vers les Etats-Unis. L'UE et ses Etats membres encourageront également leurs autorités compétentes à fournir des informations analytiques provenant des données PNR au DHS et aux autres autorités américaines concernées.

Nous nous réjouissons à la perspective de coopérer avec vous et avec l'industrie aéronautique pour faire en sorte que les passagers soient informés de la manière dont les gouvernements peuvent utiliser les informations les concernant. (Formule de politesse)