OBJECTIF : renforcer et faciliter lefficacité et lefficience des vérifications aux frontières extérieures et lutter contre limmigration illégale.
ACTE LÉGISLATIF : Règlement (UE) 2025/12 du Parlement européen et du Conseil relatif à la collecte et au transfert des informations préalables sur les passagers en vue de renforcer et de faciliter les vérifications aux frontières extérieures, modifiant les règlements (UE) 2018/1726 et (UE) 2019/817, et abrogeant la directive 2004/82/CE du Conseil.
CONTENU : afin de renforcer et de faciliter lefficacité et lefficience des vérifications aux frontières extérieures et de lutter contre limmigration irrégulière, le présent règlement établit les règles concernant: a) la collecte dinformations préalables sur les passagers (API) par les transporteurs aériens; b) le transfert des données API au routeur par les transporteurs aériens; c) la transmission des données API du routeur aux autorités frontalières compétentes. Le règlement sapplique aux transporteurs aériens effectuant des vols à destination de lUnion.
Collecte des données
Le règlement fixe quelles données API les transporteurs aériens doivent collecter et transférer. Les données API consistent en une liste fermée d'informations sur les voyageurs, telles que le nom, la date de naissance, la nationalité, le type de document de voyage, le numéro du document de voyage, les informations relatives aux sièges et les informations relatives aux bagages. En outre, les transporteurs aériens seront tenus de collecter certaines informations de vol, comme le numéro d'identification du vol, le code de l'aéroport et les heures de départ et d'arrivée.
Les transporteurs aériens devront transférer les données API:
- de chaque passager, au moment de lenregistrement, mais au plus tôt 48 heures avant lheure de départ du vol prévue; et
- de tous les passagers qui ont embarqué, immédiatement après la clôture du vol, à savoir dès que les passagers ont embarqué à bord de laéronef prêt à partir et quil nest plus possible pour des passagers ni dembarquer à bord de laéronef ni den débarquer.
Collecte automatisée de données
Les transporteurs aériens devront recueillir les données API à laide de moyens automatisés permettant la collecte des données lisibles par machine du document de voyage du passager concerné. Lorsque lutilisation de moyens automatisés nest pas techniquement possible, les transporteurs pourront recueillir les données API manuellement, à titre exceptionnel, soit dans le cadre de lenregistrement en ligne, soit dans le cadre de lenregistrement à laéroport.
La saisie manuelle des données lors de l'enregistrement en ligne demeurera en tout état de cause possible pendant une période transitoire de deux ans. Des mécanismes de vérification seront mis en place par les transporteurs aériens afin de garantir l'exactitude des données.
Protection des droits fondamentaux
Les autorités frontalières compétentes devront traiter les données API quelles reçoivent conformément au règlement uniquement aux fins de renforcer et de faciliter lefficacité et lefficience des vérifications aux frontières extérieures et de lutter contre limmigration illégale. Les vérifications aux frontières doivent être effectuées de manière à respecter pleinement la dignité humaine et en pleine conformité avec le droit de lUnion applicable, y compris la Charte des droits fondamentaux de lUnion européenne. Le traitement de toutes données API recueillies et transférées au titre du règlement ne doit entraîner aucune forme de discrimination interdite par la Charte.
Routeur unique
Un routeur, qui sera mis au point par lagence eu-LISA, recevra les données collectées par les transporteurs aériens et les transmettra ensuite aux autorités de gestion des frontières et aux services répressifs compétents. Le routeur vérifiera le format des données et le transfert des données. Les mesures à prendre en cas dimpossibilité technique dutiliser le routeur sont précisées.
Responsabilités en matière de protection des données
Les transporteurs aériens seront les responsables du traitement pour le traitement des données API constituant des données à caractère personnel lorsquils recueillent ces données et les transfèrent au routeur. Les États membres devront désigner chacun une autorité compétente en tant que responsable du traitement. Les transporteurs aériens devront fournir aux passagers, sur les vols couverts par le règlement, des informations sur la finalité de la collecte de leurs données à caractère personnel, le type de données à caractère personnel recueillies, les destinataires des données à caractère personnel et les moyens dexercer leurs droits en tant que personnes concernées.
Gouvernance
Au plus tard à la date dentrée en vigueur du règlement, le conseil dadministration de leu-LISA devra établir un conseil de gestion du programme, composé de dix membres. Le conseil de gestion du programme veillera à la bonne exécution des tâches de leu-LISA relatives à la conception et au développement du routeur. Les questions techniques liées à lutilisation et au fonctionnement du routeur devront être examinées au sein du groupe de contact API-PNR, au sein duquel des représentants de leu-LISA devraient également être présents.
Sanctions
Les États membres devront prévoir des sanctions effectives, proportionnées et dissuasives, tant financières que non financières, à lencontre des transporteurs aériens qui ne respectent pas les obligations qui leur incombent en vertu du règlement, y compris en matière de collecte de données API par des moyens automatisés et de transfert des données conformément aux délais, formats et protocoles requis.
ENTRÉE EN VIGUEUR : 28.1.2025. Le règlement sapplique à partir de la date de mise en service du routeur.