Arrêt CJUE C-817/19.
Directives API (2004) et PNR (2016) = collecte, transfert, par les transporteurs aériens et les opérateurs / agences de voyage, et traitement, par les autorités, des données relatives aux vols et aux passagers. La Cour écrit « régime de surveillance continu, non ciblé et systématique, incluant l'évaluation automatisée de données à caractère personnel de l'ensemble des personnes faisant usage de services de transport aérien ».
Uniquement pour prévenir le terrorisme et la criminalité grave en lien objectif (même indirect) avec le transport. Exemple de lien ? Se soustraire à la justice après une infraction grave. (Exit les velléités de l'utiliser pour l'immigration ou l'amélioration du contrôle aux frontières.)
Durée de conservation générale de 5 ans = excessif. 6 mois = ça va. Supprimer les "innocents" au-delà de 6 mois. On retrouve le refus d'une conservation généralisée des données de connexion.
En l'absence de menace terroriste réelle et actuelle ou prévisible, interdiction de transférer ou traiter des données relatives à des vols intra-UE et à des transports par d'autres moyens au sein de l'UE. (Il est toujours OK de surveiller certaines liaisons ou schémas de voyage ou ports / gares / aéroports selon des indications objectives tant que y'a un ré-examen régulier…). Si menace, il peut, pour une durée limitée renouvelable.
Évaluation automatisée avant l'embarquement ou le débarquement (notamment, comparaison avec les bases de personnes recherchées / signalés uniquement, pas celles constituées par les renseignements pour d'autres finalités que le terrorisme et la criminalité grave) : pas de système auto-apprenant (machine learning, IA) susceptible de modifier sans intervention humaine l'évaluation et notamment ses critères et leur pondération. « Nombre assez conséquent de résultats « faux positifs » [ « en 2018 et 2019 »] » (5 personnes sur 6).
La communication et l'évaluation après l'embarquement / débarquement est soumis au contrôle préalable d'une autorité judiciaire ou administrative indépendante, comme pour les données de connexion.
Le reste est usuel : critères objectifs (pas de discrimination), ré-examen individuel et objectif par un humain, droit à un recours effectif, etc.