Collecte et transfert des informations préalables sur les passagers pour renforcer et faciliter les contrôles aux frontières extérieures

2022/0424(COD)

Le Parlement européen a adopté par 492 voix pour, 33 contre et 10 abstentions, une résolution législative sur la proposition de règlement du Parlement européen et du Conseil relatif à la collecte et au transfert des informations préalables sur les passagers (API) en vue de renforcer et de faciliter les contrôles aux frontières extérieures, modifiant le règlement (UE) 2019/817 et le règlement (UE) 2018/1726, et abrogeant la directive 2004/82/CE du Conseil.

La position du Parlement européen arrêtée en première lecture dans le cadre de la procédure législative ordinaire modifie la proposition comme suit:

Objectif

Afin de renforcer et de faciliter l’efficacité des vérifications aux frontières extérieures et de lutter contre l’immigration irrégulière, le règlement proposé établit les règles concernant: a) la collecte par les transporteurs aériens d’informations préalables sur les passagers; b) le transfert vers le routeur, par les transporteurs aériens, des données API; c) la transmission des données API du routeur aux autorités frontalières compétentes. Le règlement s’appliquera aux transporteurs aériens assurant des vols à destination de l’Union.

Collecte et transfert des données API

Les transporteurs aériens devront recueillir les données API de chaque passager sur les vols à destination de l’Union qui devront être transférées au routeur central. Les données API se composent de données concernant chaque passager du vol, telles que le nom, la date de naissance, la nationalité, le type de document de voyage, le numéro du document de voyage, les informations relatives aux sièges et les informations relatives aux bagages. En outre, les transporteurs aériens seront tenus de collecter certaines informations de vol, comme le numéro d'identification du vol, le code de l'aéroport, les heures de départ et d'arrivée et les coordonnées du transporteur aérien.

Lorsque les transporteurs aériens proposent une procédure d’enregistrement en ligne, ils devront faire en sorte que les passagers puissent fournir les données API par des moyens automatisés dans le cadre de cette procédure. Pour les passagers qui ne s’enregistrent pas en ligne, les transporteurs aériens feront en sorte qu’ils puissent fournir ces données API par des moyens automatisés lors de l’enregistrement à l’aéroport en se rendant à une borne en libre-service ou avec l’aide du personnel des compagnies aériennes au comptoir d’enregistrement.

Pendant une période transitoire, les transporteurs aériens devront donner aux passagers la possibilité de fournir manuellement les données API dans le cadre de l’enregistrement en ligne. 

Les transporteurs aériens devront transférer au routeur, par voie électronique, les données API i) de chaque passager au moment de l’enregistrement, mais au plus tôt 48 heures avant l’heure de départ prévue, et ii) de tous les passagers qui ont embarqué, immédiatement après la clôture du vol.

Tout traitement de données API et, en particulier, de données API constituant des données à caractère personnel devra rester strictement limité à ce qui est nécessaire et proportionné à la réalisation des objectifs poursuivis par le règlement. En outre, le traitement des données API recueillies et transférées au titre du règlement ne doit entraîner aucune forme de discrimination interdite par la charte des droits fondamentaux de l’Union européenne. Une attention particulière doit être accordée aux enfants, aux personnes âgées, aux personnes handicapées et aux personnes vulnérables.

Lorsque les transporteurs aériens constatent que les données qu’ils stockent ont fait l’objet d’un traitement illicite, ou que ces données ne constituent pas des données API, ils devront les effacer immédiatement et de manière définitive.

Routeur

L’Agence de l’Union européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA) concevra, développera, hébergera et gèrera techniquement un routeur aux fins de faciliter le transfert des données API chiffrées par les transporteurs aériens aux autorités frontalières compétentes.

Le routeur vérifiera, de manière automatisée et sur la base des données de trafic aérien en temps réel, si le transporteur aérien a transféré les données API. Lorsque le routeur a vérifié que les données n’ont pas été transférées par le transporteur, il devra en informer immédiatement et de manière automatisée le transporteur aérien concerné et les autorités frontalières compétentes des États membres auxquelles les données devaient être transmises. Dans ce cas, le transporteur aérien devra transférer immédiatement les données API.

Protection des données

Les transporteurs aériens seront les responsables du traitement, au sens du RGPD, pour le traitement des données API constituant des données à caractère personnel en ce qui concerne leur collecte et leur transfert de ces données au routeur. Les États membres devront désigner chacun une autorité compétente en tant que responsable du traitement des données et devront communiquer l’identité de ces autorités à la Commission, à l’eu-LISA et aux autres États membres.

Les transporteurs aériens devront fournir aux passagers, sur les vols couverts par le règlement, des informations sur la finalité de la collecte de leurs données à caractère personnel, le type de données à caractère personnel recueillies, les destinataires des données à caractère personnel et les moyens d’exercer leurs droits en tant que personne concernée.

Gouvernance

Au plus tard à la date d’entrée en vigueur du règlement, le conseil d’administration de l’eu-LISA devra établir un conseil de gestion du programme, composé de dix membres. Le conseil de gestion du programme veillera à la bonne exécution des tâches de l’eu-LISA relatives à la conception et au développement du routeur. Sur demande du conseil de gestion du programme, l’eu-LISA fournira des informations détaillées et actualisées sur la conception et le développement du routeur, y compris sur les ressources allouées par l’eu-LISA.

Les questions techniques liées à l’utilisation et au fonctionnement du routeur devront être examinées au sein du groupe de contact API-PNR, au sein duquel des représentants de l’eu-LISA devraient également être présents.

Sanctions

Les États membres devront veiller à ce qu’un manquement récurrent au transfert des données API fasse l’objet de sanctions financières proportionnées pouvant atteindre jusqu’à 2% du chiffre d’affaires mondial du transporteur aérien pour l’exercice précédent. Le non-respect des autres obligations énoncées dans le règlement devra faire l’objet de sanctions proportionnées, y compris financières.