Comme court rappel, au niveau de l’UE [2] en plus du RGPD il existe la directive PNR [3] pour les données collectées auprès du passager aérien lors de la réservation commerciale, dont le nom/prénom, date de naissance, etc.

Cependant, dès qu’on s’éloigne du territoire de l’UE, la directive ne rentre plus en jeu, car elle se limite aux vols à destination et en provenance de pays étrangers de l’UE.

Au sein des législations applicables survit donc dans certains cas le RGPD, et ce du fait de son champ d’application « extra territorial » qui a déjà fait l’objet de débats. L’application du règlement remet en question les pratiques commerciales de certaines compagnies aériennes, qui pour effectuer les changements, ou bien corrections sur les réservations notamment sur le nom et prénom, se basent sur différent types de tarifs choisis lors de l’achat du billet. Il s’agira ici d’analyser le système des tarifs qui est souvent utilisé dans certaines parties du monde, face au RGPD.

Parmi les différents tarifs, le premier, souvent qualifié comme le tarif de départ est celui qui vient poser problème. Il montre le décalage entre la volonté de protection de l’Union européenne avec le RGPD et le système actuel des compagnies aériennes.

On assumera dans cette analyse que la compagnie exerçant ces tarifs rentre dans le champ d’application territorial du Règlement, article 3 paragraphe 2 point a. :

« Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes [...] »

En choisissant le tarif de départ, si un passager souhaite par la suite modifier son nom, prénom ou bien date de naissance, c’est à dire toute donnée personnelle, il devra payer la différence de prix entre le prix du vol lors de l’achat et le prix actuel, en plus d’éventuels frais administratifs. Dans certains cas il se peut que ce ne soit que les frais administratifs ou bien les frais de différence entre les billets d’avion (fare). Si cette pratique vient contrer les achats de masse à moindre prix qui ont pour objectif les reventes avant la date de départ en changeant notamment le nom du passager, le manque de flexibilité des compagnie aériennes lors de l’évaluation de la situation du client peut entraîner un non respect des droits de la personne concernée.

La personne concernée a en effet le droit à la rectification des données la concernant comme l’affirme l’Article 16 :

« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.  »

Cet article se doit d’être lu avec l’article 12, point 5 du Règlement selon lequel :

« 5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande. »

Une compagnie aérienne sous le champ d’application du RGPD, et devant donc l’appliquer, se doit donc d’autoriser les corrections des données personnelles de la personne concernée. Elles sont par principe sans frais, et ce indépendamment du tarif choisi lors de l’achat du billet.

Il s’agira donc pour ces compagnies aériennes de s’adapter, et différencier les changements (ceux notamment destinés à la revente du billet où les personnes concernées seraient différentes) des corrections (faute de frappe, nom incomplet, erreur lors de la saisie ..). Dans le premier cas il sera possible de faire fonctionner le système actuel basé sur les différents tarifs, mais dans l’autre non car il rentre en contradiction avec le RGPD. Il en va également de l’intérêt de la compagnie aérienne qui en tant que responsable de traitement a comme obligation de tenir des données exactes [4].

Il reste donc à voir si la CNIL [5] ou toute autre autorité de protection des données, devra s’occuper un jour d’un tel cas afin d’éclaircir la relation entre le RGPD et le système des tarifs utilisé par les compagnies aériennes. Cependant, si la situation se présente, contacter le DPO [6] de la compagnie aérienne, après avoir contacté le service client, tout en faisant mention de ses droits, reste la première étape à suivre avant de contacter la CNIL.