Le Parlement européen a adopté par 492 voix pour, 33 contre et 10 abstentions, une résolution législative sur la proposition de règlement du Parlement européen et du Conseil relatif à la collecte et au transfert des informations préalables sur les passagers (API) en vue de renforcer et de faciliter les contrôles aux frontières extérieures, modifiant le règlement (UE) 2019/817 et le règlement (UE) 2018/1726, et abrogeant la directive 2004/82/CE du Conseil.
La position du Parlement européen arrêtée en première lecture dans le cadre de la procédure législative ordinaire modifie la proposition comme suit:
Afin de renforcer et de faciliter lefficacité des vérifications aux frontières extérieures et de lutter contre limmigration irrégulière, le règlement proposé établit les règles concernant: a) la collecte par les transporteurs aériens dinformations préalables sur les passagers; b) le transfert vers le routeur, par les transporteurs aériens, des données API; c) la transmission des données API du routeur aux autorités frontalières compétentes. Le règlement sappliquera aux transporteurs aériens assurant des vols à destination de lUnion.
Collecte et transfert des données API
Les transporteurs aériens devront recueillir les données API de chaque passager sur les vols à destination de lUnion qui devront être transférées au routeur central. Les données API se composent de données concernant chaque passager du vol, telles que le nom, la date de naissance, la nationalité, le type de document de voyage, le numéro du document de voyage, les informations relatives aux sièges et les informations relatives aux bagages. En outre, les transporteurs aériens seront tenus de collecter certaines informations de vol, comme le numéro d'identification du vol, le code de l'aéroport, les heures de départ et d'arrivée et les coordonnées du transporteur aérien.
Lorsque les transporteurs aériens proposent une procédure denregistrement en ligne, ils devront faire en sorte que les passagers puissent fournir les données API par des moyens automatisés dans le cadre de cette procédure. Pour les passagers qui ne senregistrent pas en ligne, les transporteurs aériens feront en sorte quils puissent fournir ces données API par des moyens automatisés lors de lenregistrement à laéroport en se rendant à une borne en libre-service ou avec laide du personnel des compagnies aériennes au comptoir denregistrement.
Pendant une période transitoire, les transporteurs aériens devront donner aux passagers la possibilité de fournir manuellement les données API dans le cadre de lenregistrement en ligne.
Les transporteurs aériens devront transférer au routeur, par voie électronique, les données API i) de chaque passager au moment de lenregistrement, mais au plus tôt 48 heures avant lheure de départ prévue, et ii) de tous les passagers qui ont embarqué, immédiatement après la clôture du vol.
Tout traitement de données API et, en particulier, de données API constituant des données à caractère personnel devra rester strictement limité à ce qui est nécessaire et proportionné à la réalisation des objectifs poursuivis par le règlement. En outre, le traitement des données API recueillies et transférées au titre du règlement ne doit entraîner aucune forme de discrimination interdite par la charte des droits fondamentaux de lUnion européenne. Une attention particulière doit être accordée aux enfants, aux personnes âgées, aux personnes handicapées et aux personnes vulnérables.
Lorsque les transporteurs aériens constatent que les données quils stockent ont fait lobjet dun traitement illicite, ou que ces données ne constituent pas des données API, ils devront les effacer immédiatement et de manière définitive.
LAgence de lUnion européenne pour la gestion opérationnelle des systèmes dinformation à grande échelle au sein de lespace de liberté, de sécurité et de justice (eu-LISA) concevra, développera, hébergera et gèrera techniquement un routeur aux fins de faciliter le transfert des données API chiffrées par les transporteurs aériens aux autorités frontalières compétentes.
Le routeur vérifiera, de manière automatisée et sur la base des données de trafic aérien en temps réel, si le transporteur aérien a transféré les données API. Lorsque le routeur a vérifié que les données nont pas été transférées par le transporteur, il devra en informer immédiatement et de manière automatisée le transporteur aérien concerné et les autorités frontalières compétentes des États membres auxquelles les données devaient être transmises. Dans ce cas, le transporteur aérien devra transférer immédiatement les données API.
Protection des données
Les transporteurs aériens seront les responsables du traitement, au sens du RGPD, pour le traitement des données API constituant des données à caractère personnel en ce qui concerne leur collecte et leur transfert de ces données au routeur. Les États membres devront désigner chacun une autorité compétente en tant que responsable du traitement des données et devront communiquer lidentité de ces autorités à la Commission, à leu-LISA et aux autres États membres.
Les transporteurs aériens devront fournir aux passagers, sur les vols couverts par le règlement, des informations sur la finalité de la collecte de leurs données à caractère personnel, le type de données à caractère personnel recueillies, les destinataires des données à caractère personnel et les moyens dexercer leurs droits en tant que personne concernée.
Gouvernance
Au plus tard à la date dentrée en vigueur du règlement, le conseil dadministration de leu-LISA devra établir un conseil de gestion du programme, composé de dix membres. Le conseil de gestion du programme veillera à la bonne exécution des tâches de leu-LISA relatives à la conception et au développement du routeur. Sur demande du conseil de gestion du programme, leu-LISA fournira des informations détaillées et actualisées sur la conception et le développement du routeur, y compris sur les ressources allouées par leu-LISA.
Les questions techniques liées à lutilisation et au fonctionnement du routeur devront être examinées au sein du groupe de contact API-PNR, au sein duquel des représentants de leu-LISA devraient également être présents.
Sanctions
Les États membres devront veiller à ce quun manquement récurrent au transfert des données API fasse lobjet de sanctions financières proportionnées pouvant atteindre jusquà 2% du chiffre daffaires mondial du transporteur aérien pour lexercice précédent. Le non-respect des autres obligations énoncées dans le règlement devra faire lobjet de sanctions proportionnées, y compris financières.