Le traitement des données passagers

"Looking for bad people, rather than bad objects"

 

Le traitement des données des dossiers passagers  (ou PNR, pour Passenger Name Record) va représenter un chantier majeur pour les prochaines années, mais il va nécessiter la mise en œuvre d'infrastructures performantes, notamment pour l'authentification des personnes et vérifier l'intégrité des documents de voyage. Le défi est considérable car les gouvernements s'intéressent aujourd'hui à un PNR maritime et aux transports terrestres internationaux.

 

Ce nouveau dossier web détaille :

1. Le modèle IATA « Looking for bad people, rather than bad objects »
2. Le projet européen et la directive PNR
3. Le défi de la détection des profils atypiques
4. Le défi central de l'identification du voyageur

Estimer le risque potentiel d'un passager

Depuis Septembre 2001, le coût annuel de la sûreté aérienne dépasse les 6 milliards d'Euros, avec un budget français qui atteint 900 millions. Les actes de malveillance par explosifs cachés dans des chaussures (décembre 2004) et sous-vêtements (décembre 2009) mais aussi liquides (aout 2006) ont suscité une surenchère d'équipements dans les aéroports.

Les associations internationales du transport aérien – OACI, IATA, ACI- qui s'inquiètent d'une désaffection de l'avion, ont donc recommandé que les contrôles puissent varier en fonction du risque potentiel d'un passager.

Excellente nouvelle pour les voyageurs « de confiance » dont nous faisons tous partie, nous devrions donc passer plus facilement les multiples étapes du marathon aéroportuaire !   

Les « données passagers PNR et API » constituent un domaine encore peu exploité. Pourtant elles représentent des indicateurs puissants permettant d'attirer l'attention.

Le Royaume Uni dans le contexte des Jeux Olympiques, mais aussi la France, reconnaissent leur efficacité pour la répression du terrorisme. ​

Un visa périmé ou un passeport non valide exigent que le voyageur se mette en conformité ; mais pas question de malveillance dans ce cas.

En revanche, un passeport récent et un billet de dernière minute justifient une attention particulière, les personnes suspectes ayant tendance à changer d'identité et éviter des réservations à l'avance.

Le renseignement nécessite donc une approche prudente, au cas par cas, dont le traitement informatique ne constitue qu'une composante; les décisions devant être prises par des agents habilités, conformément à la réglementation sur le respect de la vie privée.

Les récents évènements démontrent les limites des équipements de sûreté, notamment repérer les explosifs difficilement détectables, voire cachés dans des implants ou cavités corporelles.

D'où….

Le paradigme IATA« Looking for bad people, rather than bad objects » qui recommande de porter l'attention sur les personnes plus que sur des objets, de plus en plus difficiles à repérer.

Le traitement des données de voyage ne constitue pas une alternative aux équipements de sûreté.

C'est un nouveau filtre qui s'inscrit dans cette approche en « couches ». Considérant qu'aucune n'est infaillible, elle contraint les terroristes à déjouer de multiples niveaux de contrôles, ce qui rend de plus en plus difficile de commettre une malveillance.

Directive PNR : historique et finalités

Plus de dix ans après les  attentats du 11 Septembre 2001, la Commission Européenne a réalisé que certains pays tiers – Etats Unis, Canada, Australie – disposaient d'une mine de renseignements sur les passagers suite à des accords négociés sur la transmission des données de voyage.

Mais jusqu'alors l'Union Européenne n'avait pas de stratégie pro-active bien que les systèmes de réservation puissent mettre en évidence des facteurs de risque.

Advance Passenger Information

Une première Directive de 2004, avait permis aux Etats Membres d'exiger des compagnies aériennes la transmission des données du passeport - appelées API pour Advance Passenger Information – avant le départ des vols.

L'objectif étant d'intercepter une personne fichée dans une base de données. Mais cette Directive ne s'applique que dans le cas d'un contrôle de frontières, elle ne peut donc être utilisée pour des vols au sein de l'Union Européenne.

Ce texte visait essentiellement la lutte contre l'immigration clandestine et non la criminalité organisée et le terrorisme.

En réponse aux multiples attentats survenus ces dernières années dans les Etats Membres, la France a été particulièrement active pour l'adoption d'un cadre réglementaire permettant d'identifier en amont d'un voyage des personnes susceptibles de malveillances.

La directive Passenger Name Record

La Directive PNR s'inscrit dans le cadre de coopération policière et judiciaire en matière pénale du programme de Stockholm (décembre 2009) qui détaille les priorités de l'Union en matière de liberté, sécurité et justice.

Chaque pays pourra ainsi constituer une Unité d'Information des Passagers (UIP) pour évaluer le niveau de risque des voyageurs et procéder à un contrôle conséquent, en cas de menace avérée.  

Cette Directive a été négociée pendant plus de dix années entre la Commission et le Parlement jusqu'à son adoption à une large majorité en avril 2016.

Vu les risques d'atteinte à la vie privée, la CNIL et ses homologues européens ont croisé le fer pour limiter le nombre de données transmises par les compagnies aériennes.

Entrée en vigueur en mai 2016, les parlements nationaux ont deux ans pour la transcrire dans leur législation. On peut donc anticiper qu'avant la fin de cette décennie, la majorité des Etats Membres disposeront d'un nouvel outil de prévention des menaces !  

Qu'est ce qu'un PRN ?
Un PNR est l'enregistrement dans une base de données des informations qu'une compagnie aérienne juge nécessaires pour établir une réservation de vol. Il contient des données obligatoires, et éventuellement des données complémentaires.

Éléments obligatoires : 

• Nom du (ou des) passager(s) 
• Itinéraire des passagers 
• Informations pour contacter au moins l'un des participants du voyage 
• Informations de tickets.

Éléments complémentaires :

• Réservations d'hôtel 
• Réservations de voiture 
• Certaines préférences pour les passagers (végétariens, kasher…).

Vu les coûts engendrés pour les compagnies aériennes, les organisations internationales des douanes (WCO) et de l'aviation (IATA, OACI) ont mis au point un standard d'échange avec les gouvernements. Une fois la procédure mise en œuvre pour un pays, la compagnie aérienne peut la répliquer et ainsi réduire ses coûts de développement et de conformité aux standards.

Dans un cadre élargi de lutte contre les malveillances, les systèmes de réservation peuvent recouvrir de multiples acteurs du voyage et tourisme.  

Si le cadre réglementaire le permet, toutes ces données pourraient être traitées et permettre d'identifier une menace.

Vigilance de tous sur la protection des données

Le Parlement Européen et les entités en charge du respect de la vie privée (CNIL, en France) sont particulièrement vigilants sur ces initiatives, vu la possibilité de déduire une appartenance religieuse, ou un profil de voyageur, à partir de préférences alimentaires ou de demandes spécifiques. La réglementation est également stricte en ce qui concerne la durée de conservation et les destinataires des informations appelés « Autorités compétentes ».

La majorité des voyageurs passeront sans difficultés à travers les mailles de cet ambitieux filet. L'objectif visé, c'est la bien la «prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que (pour) les enquêtes et les poursuites en la matière », comme le mentionne la Directive (UE) 2016/681

Le Royaume Uni est le premier pays de l'Union Européenne à avoir implémenté un tel système, pour prévenir les menaces sur les Jeux Olympiques de Londres en 2012. La France a aussi devancé la Directive en inscrivant son projet dans la Loi de programmation militaire pour les années 2014 à 2019. Elle est donc pionnière avec son Unité d'Information des Passagers (UIP) opérationnelle depuis 2016.

Détection de profils atypiques

L'identification de profils suspects repose sur l'analyse des données transmises: patronyme, moyen de paiement, agence, destination, carte de crédit, etc…

Des traitements plus sophistiqués visent à identifier des déplacements ne correspondant pas à des standards de voyage:

• réservation tardive,
• absence (ou excès) de bagage,
• correspondances incohérentes,
• embarquement de dernière minute, etc…

Une réservation peut intégrer plusieurs tronçons et modes de transports, terrestre ou maritime, d'où la notion de PNR « maître » et « esclaves » dont le traitement peut justifier une suspicion de la part des autorités de police.

La combinaison des données de voyage avec les informations en provenance de réseaux sociaux ouvre aussi un vaste champ d'investigations.

Les systèmes de réservation pourront ne pas mettre en évidence une menace, vu l'absence d'historique du passager ; par contre, des échanges sur la toile ; tweets revendicatifs ou messages explicites pourraient attirer l'attention, voire bloquer un départ, ou anticiper les modalités de retour d'une personne suspecte, soit au départ de l’avion, soit à son arrivée. 

Le gouvernement français est particulièrement vigilant sur le retour en France de personnes en provenance des zones de combat appelées « Foreign Fighters » .Vu le traitement au « cas par cas » envisagé, il est essentiel d’évaluer la menace potentielle sur la base d’un ensemble de données disponibles.

L'identité du voyageur, un défi majeur

Si les aéroports et forces de police décident d'adapter les modalités de contrôle au niveau de risque, il sera indispensable de bien identifier les voyageurs.

Roissy Charles de Gaulle – Septembre 2017 – nouvelle génération de SAS Parafe biométriques

Le passeport et la biométrie deviennent donc un enjeu majeur pour éviter les fraudes ou échanges de titres de transport.

L'enregistrement en ligne, la dépose bagage et l'enregistrement automatique ont tendance à supprimer tous contacts avec les compagnies aériennes. Il apparait donc indispensable de contrôler le passeport dès l'arrivée du voyageur.

D'abord, pour éviter les fraudes, mais surtout pour s'assurer de l'exactitude des données communiquées lors de l'achat du billet sur internet (nom, prénom, date de naissance, nationalité, etc…). Des informations pouvant être scannées à partir des deux lignes de données biographiques du passeport, appelées MRZ, Machine Readable Zone, pour éviter les erreurs ! Un standard édicté par l'OACI, l'organisation de l'aviation civile internationale, que tous les états doivent respecter pour la production de titres d'identité.

Dans le contexte de sécurité actuel et la nécessité de faire « coller » le risque aux personnes incriminées, données biographiques et biométrie ​​constituent donc un véritable enjeu.

Les sas biométriques pourront également bloquer un individu suspect et l'obliger à se présenter aux guichets de police ; soit l'authentification biométrique échoue, soit l'UIP (l'Unité Information des Passagers en charge du traitement des données) indique un niveau de risque élevé !

Dans ces deux cas, c'est une personne qui décidera de la suite à donner, pas la machine, conformément à la règlementation (GDPR, General Data Protection Regulation).

L'arrivée des technologies biométriques

En effet, comme la transcription de patronymes non-européens n'est pas standardisée, il est impératif de scanner cette bande MRZ de façon à corriger d'éventuelles erreurs lors de l'achat en ligne. D'autant plus que la connexion aux bases de données Schengen (SIS, VIS) ou d'Interpol nécessite une orthographe correcte.

Pour identifier un voyageur à risque, on ne peut donc se contenter de données « déclaratives ». Lecteurs de titres et équipements biométriques vont bientôt devenir un standard dans les aéroports, à l'image du procédé Fly to Gate de Gemalto. On authentifie une fois pour toutes le voyageur à son arrivée et la biométrie sert de fil directeur aux différentes étapes du terminal: pas de risque de fraude !

On s'assure ainsi que c'est la même personne jusqu'à l'embarquement tout en lui réservant un niveau de contrôle en fonction de son risque.

Gageons qu'une grande majorité de voyageurs bénéficiera ainsi de vérifications plus fluides, et que les forces de l'ordre pourront concentrer leur attention sur des personnes suspectes.

Avec ce regain d'intérêt pour l'identité, tous les acteurs y trouveront leur compte, et surtout les compagnies aériennes qui ont l'obligation de vérifier la validité des passeports et visas sous peine d'amendes, de prise en charge des coûts d'hébergement et frais de procédures judiciaires en cas d'acheminement de personnes non autorisées.

Plusieurs milliers de modèles de titres d'identité sont en circulation dans le monde aujourd'hui ; la majorité des pays, dont la France, ayant migré par étapes vers le passeport électronique et biométrique.

Solutions opérationnelles pour l'identification et l'authentification

Pour déjouer les tentatives de fraude documentaire, Gemalto a mis au point des équipements sophistiqués permettant de vérifier leur authenticité par comparaison avec les modèles en circulation.

Mais aussi leur validité par connexion à des bases de données de l'Union Européenne (VIS, SIS, Eurodac) ou de titres frauduleux (Europol, Interpol). Rappelons que l'OACI gère une base de données de certificats étatiques appelée PKD (Public Key Directory) pour détecter les « vrai-faux », réalisés à partir de passeports vierges volés, véritables sosies des titres officiels, mais dépourvus de leur signature électronique.

Pour le contrôle des frontières, au-delà de ses SAS biométriques, Gemalto propose toute une gamme de lecteurs de passeports d'équipements et de logiciels d'authentification biométriques, grâce à l'acquisition de 3M Identity Management Solutions, l'un des pionniers du secteur.

Pour en savoir plus, n'hésitez pas à nous contacter.