Le Parlement européen a adopté par 438 voix pour, 35 contre et 60 abstentions, une résolution législative sur la proposition de règlement du Parlement européen et du Conseil relatif à la collecte et au transfert des informations préalables sur les passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, et modifiant le règlement (UE) 2019/818.
La position du Parlement européen arrêtée en première lecture dans le cadre de la procédure législative ordinaire modifie la proposition comme suit:
Objectif
Aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière, le règlement établit les règles concernant: a) la collecte par les transporteurs aériens d’informations préalables sur les passagers sur les vols extra-UE et intra-UE; b) le transfert au routeur, par les transporteurs aériens, des informations préalables sur les passagers (données API) et des autres données des dossiers passagers (données PNR); c) la transmission par le routeur aux unités d’informations passagers (UIP) des données API et des autres données PNR sur les vols extra-UE et certains vols intra-UE.
Le règlement s’appliquera aux transporteurs aériens assurant: a) des vols extra-UE; b) des vols intra-UE qui effectuent leur départ, leur arrivée ou une escale sur le territoire d’au moins un État membre qui a notifié sa décision d’appliquer la directive (UE) 2016/681 aux vols intra-UE.
Collecte et transfert des données API
Les transporteurs aériens devront recueillir les données API de chaque passager et membre d’équipage sur les vols qui devront être transférées au routeur central. Les données API se composent de données concernant chaque passager du vol et membre d’équipage, telles que le nom, la date de naissance, la nationalité, le type de document de voyage, le numéro du document de voyage, le numéro d’identification d’un dossier passager utilisé par un transporteur aérien pour repérer un passager dans son système d’information, les informations relatives aux sièges et les informations relatives aux bagages. En outre, les transporteurs aériens seront tenus de collecter certaines informations de vol, comme le numéro d'identification du vol, le code de l'aéroport, les heures de départ et d'arrivée et les coordonnées du transporteur aérien.
Les transporteurs aériens devront recueillir les données API de manière à ce que les données API qu’ils transfèrent soient exactes, complètes et à jour. Le respect de cette obligation n’exige pas des transporteurs aériens qu’ils vérifient le document de voyage au moment de l’embarquement. Le règlement n’impose aux passagers aucune obligation d’être en possession d’un document de voyage lorsqu’ils voyagent, sans préjudice d’autres actes du droit de l’Union ou d’autres actes du droit national compatibles avec le droit de l’Union.
Lorsque les transporteurs aériens proposent une procédure d’enregistrement en ligne, ils devront faire en sorte que les passagers puissent fournir les données API par des moyens automatisés dans le cadre de cette procédure. Pendant une période transitoire, les transporteurs aériens devront donner aux passagers la possibilité de fournir manuellement les données API dans le cadre de l’enregistrement en ligne.
Les transporteurs aériens devront transférer au routeur, par voie électronique, les données API i) de chaque passager au moment de l’enregistrement, mais au plus tôt 48 heures avant l’heure de départ prévue, ii) de tous les passagers qui ont embarqué, immédiatement après la clôture du vol, c’est-à-dire dès que les voyageurs ont embarqué à bord de l’aéronef prêt à partir et qu’il n’est plus possible pour des voyageurs ni d’embarquer à bord de celui-ci ni d’en débarquer; iii) de tous les membres d’équipage, immédiatement après la clôture du vol.
La période de stockage des données API est fixée à 48 heures. Lorsque les transporteurs aériens constatent que les données qu’ils conservent ont fait l’objet d’un traitement illicite, ou que ces données ne constituent pas des données API, ils devront les effacer immédiatement et de manière définitive.
Le traitement des données API recueillies et transférées au titre du règlement ne doit entraîner aucune forme de discrimination interdite par la charte des droits fondamentaux de l’Union européenne. Une attention particulière doit être accordée aux enfants, aux personnes âgées, aux personnes handicapées et aux personnes vulnérables.
Routeur
L’Agence de l’Union européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA) concevra, développera et gèrera techniquement un routeur destiné à faciliter le transfert des données API et des autres données PNR cryptées aux UIP par les transporteurs aériens.
Le routeur vérifiera, de manière automatisée et sur la base des données de trafic aérien en temps réel, si le transporteur aérien a transféré les données API. Chaque État membre veillera à ce que ses UIP, lorsqu’elles reçoivent des données API et d’autres données PNR confirment au routeur, immédiatement et de manière automatisée, la réception de ces données.
Sélection des vols intra-UE
Les États membres qui décident d’appliquer le règlement aux vols intra-UE devront sélectionner ces vols. Les États membres ne pourront appliquer la directive (UE) 2016/681 à tous les vols intra-UE à l’arrivée ou au départ de leur territoire que dans les situations où il existe une menace terroriste réelle et actuelle ou prévisible et dans le cadre d’une décision fondée sur une évaluation de la menace, limitée dans le temps à ce qui est strictement nécessaire et susceptible de faire l’objet d’un réexamen efficace. Dans les autres situations, une approche sélective est prévue. En outre, la sélection devra être opérée en fonction d’une évaluation objective, dûment motivée et non discriminatoire.
Protection des données
Les transporteurs aériens seront les responsables du traitement, au sens du RGPD, pour le traitement des données API et des autres données PNR constituant des données à caractère personnel en ce qui concerne leur collecte et leur transfert de ces données au routeur.
Les transporteurs aériens devront fournir aux passagers, sur les vols couverts par le règlement, des informations sur la finalité de la collecte de leurs données à caractère personnel, le type de données à caractère personnel recueillies, les destinataires des données à caractère personnel et les moyens d’exercer leurs droits en tant que personne concernée.
Gouvernance
Au plus tard à la date d’entrée en vigueur du règlement, le conseil d’administration de l’eu-LISA devra établir un conseil de gestion du programme, composé de dix membres. Les questions techniques liées à l’utilisation et au fonctionnement du routeur devront être examinées au sein du groupe de contact API-PNR, au sein duquel des représentants de l’eu-LISA devraient également être présents.
Sanctions
Les États membres devront veiller à ce qu’un manquement récurrent au transfert des données API fasse l’objet de sanctions financières proportionnées pouvant atteindre jusqu’à 2% du chiffre d’affaires mondial du transporteur aérien pour l’exercice précédent. Le non-respect des autres obligations énoncées dans le règlement devra faire l’objet de sanctions proportionnées, y compris financières.