La commission des libertés civiles, de la justice et des affaires intérieures a adopté le rapport d'Assita KANKO (ECR, BE) sur la proposition de règlement du Parlement européen et du Conseil relatif à la collecte et au transfert des informations préalables sur les passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, et modifiant le règlement (UE) 2019/818.
La commission compétente a recommandé que la position du Parlement européen adoptée en première lecture dans le cadre de la procédure législative ordinaire modifie la proposition comme suit:
Données relatives aux informations préalables sur les passagers (données API) à collecter par les transporteurs aériens
Le texte amendé stipule que les transporteurs aériens devraient recueillir les données API des voyageurs, consistant dans les données relatives aux voyageurs et les informations de vol précisées dans le règlement aux fins du transfert de ces données API au routeur.
Les données API ne devraient comprendre que les données suivantes relatives aux passagers de chaque passager du vol : a) le nom de famille, le ou les prénoms; b) la date de naissance, le sexe et la nationalité; c) le type et le numéro du document de voyage ainsi que le code à trois lettres du pays qui l’a délivré; d) la date d’expiration de la validité du document de voyage; e) le numéro identifiant un dossier passager utilisé par un transporteur aérien pour localiser un passager dans son système d’information (localisateur d’enregistrement PNR); f) le numéro du siège de l’aéronef attribué à un passager; g) le nombre et le poids des bagages enregistrés.
Les données API ne devraient comprendre que les informations de vol suivantes : le ou les numéros d’identification du vol; le cas échéant, le point de passage frontalier d’entrée sur le territoire de l’État membre; le code de l’aéroport d’entrée sur le territoire de l’État membre; le point d’embarquement initial; la date locale et l’heure prévue du départ et d’arrivée.
Collecte des données API
Les transporteurs aériens devraient être tenus de collecter les données de l’API à l’aide de moyens automatisés, en particulier en lisant les informations figurant dans les données lisibles par machine du document de voyage. Lorsque l’utilisation de tels moyens automatisés n’est toutefois pas possible, les transporteurs aériens devraient collecter manuellement les données. La collecte de données API par des moyens automatisés devrait être strictement limitée aux données alphanumériques contenues dans le document de voyage et ne devrait pas conduire à la collecte de données biométriques à partir de celui-ci.
Conservation et suppression des données API
Les députés ont suggéré que les transporteurs aériens conservent, pendant 24 heures à compter du moment du départ du vol, les données API relatives au passager qu’ils ont collectées. Ils devraient supprimer immédiatement et définitivement ces données API à l'expiration de ce délai. Les transporteurs aériens ou les autorités frontalières compétentes devraient supprimer immédiatement et définitivement les données API lorsqu'ils apprennent que les données API collectées ont été traitées illégalement ou que les données transférées ne constituent pas des données API.
Droits fondamentaux
Le traitement de données API et, en particulier, de données API constituant des données à caractère personnel, devrait rester strictement limité à ce qui est nécessaire et proportionné à la réalisation des objectifs poursuivis par le règlement. En outre, le traitement des données de l’API collectées et transférées en vertu du règlement ne devrait entraîner aucune forme de discrimination exclue par la Charte des droits fondamentaux de l’Union européenne.
Routeur
Le rapport indique que pour éviter que les transporteurs aériens ne doivent établir et maintenir de multiples connexions avec les unités de renseignements passagers (UIP) pour le transfert des données API et des données PNR, et pour éviter les inefficacités et les risques de sécurité qui en découlent, il convient de prévoir un routeur unique, créé et exploité au niveau de l'Union, qui devrait servir de connexion, de filtre et de point de distribution pour ces transferts.
À cet égard, eu-LISA devrait concevoir, développer, héberger et gérer techniquement un routeur destiné à faciliter le transfert des données API et PNR cryptées par les transporteurs aériens vers les unités de renseignements passagers.
Méthodologie et critères de sélection des vols intra-UE
Les États membres qui décident d'appliquer la directive (UE) 2016/681 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (directive PNR) et, par conséquent, le présent règlement aux vols intra-UE devraient, pour la sélection de ces vols:
- procéder à une évaluation objective, dûment motivée et non discriminatoire de la menace;
- ne prendre en compte que les critères pertinents pour la prévention, la détection, l'investigation et la poursuite des infractions terroristes et des formes graves de criminalité ayant un lien objectif avec le transport aérien de passagers.
Dans les situations de menace terroriste réelle et actuelle ou prévisible, les États membres pourraient appliquer la directive (UE) 2016/681 à tous les vols intra-UE à l'arrivée ou au départ de leur territoire, dans le cadre d'une décision limitée dans le temps au strict nécessaire et susceptible de faire l'objet d'un réexamen effectif.
Registres
Les députés ont suggéré qu’eu-LISA tienne des registres de toutes les opérations de traitement relatives au transfert de données API via le routeur en vertu du règlement.
Actions en cas d'impossibilité technique d'utiliser le routeur
Eu-LISA devrait immédiatement notifier de manière automatisée aux transporteurs aériens et aux unités de renseignements passagers l’impossibilité technique d’utiliser le routeur et prendre des mesures pour remédier à cette impossibilité technique.
Information des passagers
Les transporteurs aériens devraient fournir aux passagers des informations sur la finalité de la collecte de leurs données à caractère personnel, le type de données à caractère personnel collectées, les destinataires des données à caractère personnel et les moyens d'exercer les droits de la personne concernée. Ces informations devraient être communiquées aux passagers par écrit et dans un format facilement accessible au moment de la réservation et de l'enregistrement, quel que soit le moyen utilisé pour collecter les données à caractère personnel au moment de l'enregistrement.
Sanctions
Les États membres devraient veiller à ce qu'un manquement systématique ou persistant aux obligations énoncées dans le présent règlement fasse l'objet de sanctions financières pouvant aller jusqu'à 2% du chiffre d'affaires global réalisé par un transporteur aérien au cours de l'exercice précédent.