Votre carte d'embarquement est un mandat de surveillance : ce qui arrive à vos données lorsque vous voyagez en avion

Vous remettez votre passeport à l'enregistrement, scannez votre carte d'embarquement à la porte et vous installez à votre place. Ce que vous avez réellement fait, c'est déclencher une vaste machinerie de collecte de données, en grande partie invisible, qui vous suivra à travers les frontières, à travers des bases de données gouvernementales et entre les mains d'agences dont vous n'avez peut-être jamais entendu parler. Le parcours de vos informations personnelles est plus long, plus étrange et considérablement plus troublant que votre vol.

Ce qui est collecté : l'inventaire complet

La collecte de données commence dès que vous réservez un billet. Les compagnies aériennes exigent votre nom complet, votre sexe, votre date de naissance, les détails de votre passeport ou pièce d'identité nationale, votre nationalité, votre adresse e-mail et votre numéro de téléphone. Si vous volez vers ou via les États-Unis, vous devez également fournir votre adresse de résidence à l'origine et à la destination. Les informations de paiement suivent : numéro de carte, date d'expiration, code CVV, adresse de facturation et nom du titulaire de la carte. Tout cela est regroupé dans un dossier passager, ou PNR, un fichier qui vous suit tout au long de l'écosystème du voyage.

Mais ce fichier s'agrandit. La directive PNR de l'UE impose la collecte d'au moins 19 catégories de données distinctes. Au-delà des identifiants évidents, le dossier comprend : la date de réservation et d'émission du billet, votre itinéraire complet, les détails de votre programme de fidélité, les informations de l'agence de voyage, le statut d'enregistrement, si vous avez manqué un vol, le numéro de siège, les détails des bagages et les informations de code partagé. Pour les mineurs non accompagnés, le système enregistre le nom et les coordonnées des adultes qui les déposent et les récupèrent, ainsi que leur relation avec l'enfant. Chaque modification apportée à ce dossier, des réaffectations de siège aux ajustements de préférences de repas, est enregistrée et stockée.

Qui y a accès : le public invisible

Vos données ne restent pas auprès de la compagnie aérienne. En vertu de la directive PNR de l'UE, les compagnies aériennes sont légalement tenues de transmettre les données PNR à une unité gouvernementale désignée, deux fois : une fois avant le départ et une fois après l'arrivée. En Autriche, cette unité est appelée l'Unité d'Information des Passagers, logée au sein du ministère de l'Intérieur. Vingt et un personnels ont actuellement un accès direct à cette base de données, avec des projets de connecter 91 transporteurs commerciaux. Dans toute l'UE, des unités similaires opèrent dans chaque État membre, et elles partagent des données entre elles, avec Europol et avec les polices nationales, les services de renseignement et les agences de sécurité intérieure.

La portée de l'accès s'étend davantage. Pour les vols impliquant les États-Unis, les données PNR sont transmises au Département de la Sécurité intérieure. Le service des douanes et de la protection des frontières d'Australie reçoit les mêmes données. Ces transferts se produisent automatiquement et sans votre consentement spécifique pour chaque vol, sur la base d'accords internationaux qui autorisent le profilage, le classement des passagers en catégories de risque à l'aide de critères secrets et prédéfinis, le tout sans aucun soupçon initial ni piste criminelle.

Reconnaissance faciale : la nouvelle frontière

À l'aéroport, une deuxième couche de collecte biométrique entre en jeu. Aux États-Unis, la Transportation Security Administration (TSA) a déployé la technologie d'authentification des titres d'identité dans près de 250 aéroports. Le système, connu sous le nom de CAT-2, scanne votre visage et le compare à la photo de votre passeport ou de votre Real ID. La TSA affirme que les images sont supprimées peu après leur utilisation. La réalité pratique pour les voyageurs est que le mécanisme de désinscription, bien que légalement requis, n'est pas affiché de manière proéminente, et son exercice peut entraîner des contrôles supplémentaires ou des retards.

Le Comité européen de la protection des données a adopté une position plus restrictive. Dans un avis de 2024, le Comité a rejeté les scénarios dans lesquels les modèles biométriques sont stockés de manière centralisée sous le contrôle de l'aéroport ou de la compagnie aérienne pour une durée supérieure à 48 heures ou liés indéfiniment à un compte passager. Les seules configurations jugées potentiellement conformes au RGPD sont celles où le modèle biométrique reste sur l'appareil du passager ou est stocké de manière centralisée mais crypté avec une clé détenue exclusivement par le passager.

Combien de temps ils le conservent : la réalité de la rétention

Les périodes de stockage varient considérablement selon la juridiction, et les différences révèlent beaucoup sur la valeur que chaque gouvernement accorde aux données. En vertu de la directive PNR de l'UE, les dossiers passagers sont dépersonnalisés après six mois, mais la dépersonnalisation signifie seulement que le nom complet est masqué. Les données peuvent toujours être tracées jusqu'à un individu, et le dossier complet n'est pas supprimé avant l'écoulement de cinq années complètes.

L'Autriche dépasse le mandat de l'UE en étendant la collecte de PNR aux vols intra-européens, et pas seulement à ceux qui traversent la frontière extérieure. Le système allemand devrait traiter 180 millions de dossiers passagers par an.

En dehors de l'UE, les délais s'allongent davantage. Les États-Unis conservent les données PNR pendant 15 ans dans le cadre actuel. L'accord de l'Australie avec l'UE autorise le stockage jusqu'à 5,5 ans. Certains défenseurs ont appelé à étendre la rétention américaine à 30 ans.

Les compagnies aériennes elles-mêmes opèrent selon des calendriers variés. Singapore Airlines et British Airways conservent généralement les données clients pendant sept ans après la dernière interaction. Scandinavian Airlines conserve les dossiers pendant une décennie après la conclusion d'un vol. La politique de Lufthansa varie de six à dix ans, mais précise que les données liées à des litiges juridiques peuvent être conservées jusqu'à trente ans.

Le filet de l'algorithme

Voici la partie que la plupart des passagers ne considèrent jamais : vos données PNR ne se trouvent pas simplement dans une base de données en attendant qu'un humain les examine. Elles sont continuellement et automatiquement filtrées par des algorithmes à la recherche d'anomalies. Le système est conçu pour générer des « correspondances » sur des schémas qui dévient d'une norme statistique, des correspondances qui sont ensuite transmises aux autorités pour examen manuel.

Le problème des faux positifs est mathématiquement inévitable. Lorsque vous recherchez quelque chose d'extrêmement rare dans un ensemble de données énorme, même un algorithme très précis produira une avalanche de faux drapeaux. En Autriche, le système génère environ 490 prétendues correspondances par jour, soit environ 3 340 par semaine. Parmi celles-ci, seules 51 ont été confirmées comme légitimes, et seulement 36 cas ont fourni des informations jugées significatives pour la lutte contre le terrorisme ou les enquêtes sur la criminalité grave. Seuls 30 incidents ont abouti à une intervention directe à l'aéroport. Le taux de confirmation des correspondances s'élève à 0,1 pour cent.

Ces 490 faux positifs quotidiens ne sont pas inoffensifs. Chacun doit être examiné manuellement par un opérateur humain. Chacun représente une personne contre laquelle il n'y avait pas de soupçon fondé, mais qui a néanmoins été soumise à un examen supplémentaire. Le processus inverse la présomption d'innocence : tout le monde est surveillé, l'algorithme signale de nombreux cas, et les humains trient les innocents.

Violations de données : quand le coffre-fort se fissure

La concentration des données des passagers crée une cible correspondante et attrayante. En juillet 2025, Qantas a confirmé qu'une cyberattaque sur ses systèmes avait exposé les informations personnelles d'environ 5,7 millions de clients. Les données compromises comprenaient les noms, adresses, numéros de téléphone, adresses e-mail et détails des programmes de fidélité. La compagnie aérienne a déclaré que les informations de carte de crédit et de passeport n'étaient pas affectées, et qu'aucune preuve ne suggérait que les données avaient été divulguées publiquement ou utilisées à mauvais escient. La violation était liée à une attaque contre le fournisseur de logiciels Salesforce, affectant 39 entreprises au total.

Ce n'était pas un incident isolé. En 2024, un bogue de l'application mobile Qantas a permis à certains utilisateurs d'accéder aux cartes d'embarquement d'autres passagers, aux soldes de points de fidélité et aux détails des vols, et même de tenter d'annuler des vols appartenant à des inconnus. La même année, un détaillant australien de photographie numérique a vu 304 000 dossiers clients téléchargés sur le dark web, et un service de prescription médicale a subi un vol de données de 6,5 téraoctets affectant 12,9 millions d'Australiens.

Le cadre général : pourquoi cela existe

Le système PNR a émergé après les attentats du 11 septembre dans le cadre d'un effort mondial pour renforcer la sécurité aérienne. Le Conseil de sécurité des Nations Unies, par le biais de la résolution 2396, a appelé tous les États membres à développer des capacités de collecte, de traitement, d'analyse et de partage des données PNR. Pourtant, la mise en œuvre reste inégale. Selon l'Organisation de l'aviation civile internationale, seuls 26 États demandent activement des données PNR, et seulement 68 des 193 États membres de l'OACI ont établi un système d'information préalable sur les passagers.

Les organisations de défense des libertés civiles ont mené des contestations juridiques soutenues. La Cour de justice européenne a statué à trois reprises que les systèmes de conservation des données violent les droits fondamentaux, le plus récemment en 2017, lorsqu'elle a constaté que le partage de données PNR avec le Canada violait à la fois le droit à la vie privée et le droit à la protection des données. En Autriche, une plainte déposée auprès du Tribunal administratif fédéral soutient que la directive PNR elle-même est incompatible avec les droits fondamentaux et que la mise en œuvre autrichienne, en étendant la collecte aux vols intra-européens, va au-delà de ce que la directive exige.

La critique dépasse les aspects techniques juridiques. Les algorithmes qui trient les données des passagers fonctionnent sans transparence, et leurs critères ne sont pas divulgués. Des caractéristiques sensibles peuvent être déduites par des proxys : une sélection de repas peut représenter une religion, un schéma de voyage une ethnie. Lorsqu'un algorithme signale un passager, il n'existe aucune voie significative pour comprendre pourquoi ou pour contester la classification.

Ce à quoi vous consentez réellement

Lorsque vous cliquez sur « J'accepte » dans la politique de confidentialité d'une compagnie aérienne, vous consentez à une chaîne de partage de données qui s'étend bien au-delà du transporteur. La politique d'Akasa Air, typique de l'industrie, stipule que les données personnelles peuvent être divulguées à des fournisseurs de services tiers, des sociétés affiliées et des entités du groupe. Elles peuvent être transférées à travers les frontières. Elles peuvent être conservées aussi longtemps que nécessaire pour remplir des « objectifs commerciaux » et éliminées conformément aux « lois et réglementations applicables dans la géographie respective ». Le flou est délibéré et répandu dans l'industrie.

La politique d'Air China précise que pour les vols touchant le territoire américain, les exigences réglementaires locales obligent à fournir les informations d'adresse pour l'origine et la destination. Les voyageurs d'affaires sont confrontés à une exposition supplémentaire : leurs détails de réservation, y compris les identifiants d'employés et les codes de compte d'entreprise, sont visibles par les administrateurs de compte employeur qui gèrent les listes de voyage.

Le point à retenir

Chaque fois que vous prenez l'avion, vous n'êtes pas seulement un passager. Vous êtes un sujet de données, inscrit dans une architecture de surveillance mondiale qui a été construite au nom de la sécurité et fonctionne maintenant largement par inertie. Votre nom, votre visage, vos détails de paiement, votre itinéraire, votre choix de repas, vos compagnons de voyage et vos bagages sont tous enregistrés, transmis, stockés, analysés algorithmiquement et potentiellement partagés entre les juridictions pendant des années après que vous ayez complètement oublié le voyage. Le système génère quotidiennement des milliers de fausses accusations, soumet des personnes innocentes à un examen supplémentaire, et n'a jamais été démontré de manière convaincante qu'il atteignait ses objectifs de sécurité déclarés. Pourtant, il persiste, parce que l'infrastructure est construite, les agences sont dotées en personnel et les données continuent de circuler. Vous êtes le produit, et votre carte d'embarquement est le reçu.

Rédigé par Thorben Thiede