Collecte et transfert des informations préalables sur les passagers pour renforcer et faciliter les contrôles aux frontières extérieures

2022/0424(COD)

La commission des libertés civiles, de la justice et des affaires intérieures a adopté le rapport de Jan-Christoph OETJEN (Renew, DE) sur la proposition de règlement du Parlement européen et du Conseil relatif à la collecte et au transfert des informations préalables sur les passagers (API) en vue de renforcer et de faciliter les contrôles aux frontières extérieures, modifiant le règlement (UE) 2019/817 et le règlement (UE) 2018/1726, et abrogeant la directive 2004/82/CE du Conseil.

La commission compétente a recommandé que la position du Parlement européen adoptée en première lecture dans le cadre de la procédure législative ordinaire modifie la proposition comme suit:

Données relatives aux informations préalables sur les passagers (données API) à collecter par les transporteurs aériens

Le texte amendé stipule que les transporteurs aériens doivent collecter les données API des passagers, c'est-à-dire les données relatives aux passagers et les informations relatives au vol, respectivement, sur les vols, en vue de les transférer au routeur. Lorsque le vol fait l'objet d'un partage de code entre un ou plusieurs transporteurs aériens, l'obligation de transférer les données API doit incomber au transporteur aérien qui exploite le vol.

Moyens de collecte des données API

La collecte de données API ne devrait pas inclure l'obligation pour les transporteurs aériens de vérifier le document de voyage au moment de l'embarquement dans l'avion ou l'obligation pour les passagers de porter un document de voyage lors de leurs déplacements, sans préjudice des actes de droit national qui sont compatibles avec le droit de l'Union. La collecte des données API par des moyens automatisés ne devrait pas conduire à la collecte de données biométriques à partir du document de voyage.

Lorsque les transporteurs aériens proposent une procédure d'enregistrement en ligne, ils devraient permettre aux passagers de fournir les données API au cours de la procédure d'enregistrement en ligne, en utilisant des moyens automatisés.

Les transporteurs aériens devraient veiller à ce que les données API soient cryptées lors de la transmission des données du passager aux transporteurs aériens.

Obligations des transporteurs aériens concernant les transferts de données API

Au moment de l'enregistrement, les transporteurs aériens devraient transférer les données API conformément au règlement et aux normes internationales applicables. Les transporteurs aériens devraient recevoir un accusé de réception du transfert des données API.

Traitement des données API reçues

Les autorités frontalières compétentes ne devraient en aucun cas être autorisées à traiter les données API à des fins de profilage.

Conservation et suppression des données API

Les députés ont suggéré que les transporteurs aériens conservent, pendant une période de 24 heures (au lieu des 48 heures proposées par la Commission) à compter du départ du vol, les données API relatives aux passagers qu'ils ont collectées. Ils devraient supprimer immédiatement et définitivement ces données API à l'expiration de ce délai.

Les transporteurs aériens ou les autorités frontalières compétentes devraient supprimer immédiatement et définitivement les données API lorsqu'ils se rendent compte que les données API collectées ont été traitées illégalement ou que les données transférées ne constituent pas des données API.

Droits fondamentaux

La collecte et le traitement de données à caractère personnel par les transporteurs aériens et les autorités compétentes ne devraient pas entraîner de discrimination à l'encontre de personnes en raison du sexe et du genre, de la race, de la couleur, des origines ethniques ou sociales, des caractéristiques génétiques, de la langue, de la religion ou des convictions, des opinions politiques ou de toute autre opinion, de l'appartenance à une minorité nationale, de la fortune, de la naissance, d'un handicap, de l'âge ou de l'orientation sexuelle.

Routeur

Les députés ont précisé le fonctionnement du routeur. Il devrait permettre la réception et la transmission de données API cryptées et extraire automatiquement les statistiques et les mettre à la disposition du référentiel central pour les rapports et les statistiques.

eu-LISA devrait concevoir et développer le routeur de manière à ce que toutes les données API transférées des transporteurs aériens vers le routeur et toutes les données API transmises du routeur aux autorités frontalières compétentes pour les rapports et les statistiques soient cryptées.

Information des passagers

Les transporteurs aériens devraient fournir aux passagers des informations sur la finalité de la collecte de leurs données à caractère personnel, le type de données à caractère personnel collectées, les destinataires des données à caractère personnel et les moyens d'exercer les droits de la personne concernée. Ces informations devraient être communiquées aux passagers par écrit et dans un format facilement accessible au moment de la réservation et de l'enregistrement, quel que soit le moyen utilisé pour collecter les données personnelles au moment de l'enregistrement.

Coûts d'eu-LISA, du contrôleur européen de la protection des données, des autorités nationales de contrôle et des États membres

Les députés ont souligné que le succès du routeur dépendait des moyens financiers qui lui seraient alloués, et qu'il convenait donc de doter eu-LISA des ressources nécessaires. En outre, compte tenu de l'augmentation attendue des tâches du CEPD et des autorités nationales chargées de la protection des données, le rapport contient des dispositions relatives à la couverture des coûts qu'ils supportent également.

Sanctions

Les États membres devraient veiller à ce qu'un manquement systématique ou persistant aux obligations énoncées dans le présent règlement fasse l'objet de sanctions financières pouvant aller jusqu'à 2% du chiffre d'affaires global réalisé par un transporteur aérien au cours de l'exercice précédent.

Groupe d'experts API

Les députés ont demandé la création d'un groupe d'experts API afin de faciliter la coopération et l'échange d'informations sur les obligations découlant du règlement et sur les questions qui s'y rapportent entre les États membres, les institutions de l'UE et les parties prenantes.

Le groupe devrait être composé de représentants de la Commission européenne, des autorités compétentes des États membres, du Parlement européen et d'eu-LISA.

Suivi et évaluation

Les députés ont estimé que le règlement devrait faire l'objet d'évaluations régulières afin de garantir le contrôle de son application effective. En particulier, la collecte des données API ne devrait pas se faire au détriment de l'expérience de voyage des passagers légitimes. La charge réglementaire globale pesant sur le secteur de l'aviation devrait être suivie de près.

En outre, le rapport devrait évaluer dans quelle mesure les objectifs du règlement ont été atteints et dans quelle mesure il a eu une incidence sur la compétitivité du secteur.