OBJECTIF : contribuer à la prévention et à la détection des infractions terroristes et des formes graves de criminalité, ainsi qu’aux enquêtes et aux poursuites en la matière.
ACTE LÉGISLATIF : Règlement (UE) 2025/13 du Parlement européen et du Conseil relatif à la collecte et au transfert des informations préalables sur les passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, et modifiant le règlement (UE) 2019/818.
CONTENU : aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière, le présent règlement établit les règles concernant: a) la collecte d’informations préalables sur les passagers (API) sur les vols extra-UE et intra-UE par les transporteurs aériens; b) le transfert des données API et d’autres données PNR au routeur par les transporteurs aériens; c) la transmission des données API et d’autres données PNR sur les vols extra-UE et les vols intra-UE sélectionnés aux unités d’informations passagers (UIP) par le routeur.
Le règlement s’applique aux transporteurs aériens assurant: a) des vols extra-UE; b) des vols intra-UE qui effectuent leur départ, leur arrivée ou une escale sur le territoire d’au moins un État membre qui a notifié à la Commission sa décision d’appliquer la directive (UE) 2016/681 aux vols intra-UE.
Sélection des vols
Les États membres qui décident d’appliquer le règlement aux vols intra-UE devront sélectionner ces vols. Les États membres ne pourront appliquer la directive (UE) 2016/681 à tous les vols intra-UE à l’arrivée ou au départ de leur territoire que dans les situations où il existe une menace terroriste réelle et actuelle ou prévisible et dans le cadre d’une décision fondée sur une évaluation de la menace, limitée dans le temps à ce qui est strictement nécessaire et susceptible de faire l’objet d’un réexamen efficace. Dans les autres situations, une approche sélective est prévue. En outre, la sélection devra être opérée en fonction d’une évaluation objective, dûment motivée et non discriminatoire.
Collecte des données
Le règlement fixe quelles données API les transporteurs aériens doivent collecter et transférer. Les données API consistent en une liste fermée d'informations sur les voyageurs, telles que le nom, la date de naissance, la nationalité, le type de document de voyage, le numéro du document de voyage, les informations relatives aux sièges et les informations relatives aux bagages. En outre, les transporteurs aériens seront tenus de collecter certaines informations de vol, comme le numéro d'identification du vol, le code de l'aéroport et les heures de départ et d'arrivée.
Les transporteurs aériens devront transférer les données API:
- de chaque passager, au moment de l’enregistrement, mais au plus tôt 48 heures avant l’heure de départ du vol prévue, et de tous les passagers qui ont embarqué, immédiatement après la clôture du vol;
- de tous les membres d’équipage, immédiatement après la clôture du vol.
Améliorer les contrôles aux frontières et la lutte contre la criminalité
Le nouveau règlement permettra aux autorités répressives de combiner les données API des voyageurs et leurs dossiers passagers (PNR). Les informations sur les passagers, telles que les dossiers passagers (PNR) et en particulier les informations préalables sur les passagers (API), sont essentielles pour identifier les passagers à haut risque, notamment ceux qui ne sont pas autrement connus des services répressifs, pour établir des liens entre les membres de groupes criminels, et pour contrer les activités terroristes.
Collecte automatisée de données
Les transporteurs aériens devront recueillir les données API à l’aide de moyens automatisés permettant la collecte des données lisibles par machine du document de voyage du passager concerné. Lorsque l’utilisation de moyens automatisés n’est pas techniquement possible, les transporteurs pourront recueillir les données API manuellement, à titre exceptionnel, soit dans le cadre de l’enregistrement en ligne, soit dans le cadre de l’enregistrement à l’aéroport.
La saisie manuelle des données lors de l'enregistrement en ligne demeurera en tout état de cause possible pendant une période transitoire de deux ans. Des mécanismes de vérification seront mis en place par les transporteurs aériens afin de garantir l'exactitude des données.
Protection des droits fondamentaux
Tout traitement de données API et, en particulier, de données API constituant des données à caractère personnel, devra rester strictement limité à ce qui est nécessaire et proportionné à la réalisation des objectifs poursuivis par le règlement. En outre, le traitement de toutes données API recueillies et transférées au titre du règlement n’entraîne aucune forme de discrimination interdite par la Charte des droits fondamentaux de l’Union européenne.
Routeur unique
Un routeur, qui sera mis au point par l’agence eu-LISA, recevra les données collectées par les transporteurs aériens et les transmettra ensuite aux autorités de gestion des frontières et aux services répressifs compétents. Le routeur vérifiera le format des données et le transfert des données. Le règlement précise les mesures à prendre en cas d’impossibilité technique d’utiliser le routeur.
Responsabilités en matière de protection des données
Les transporteurs aériens seront les responsables du traitement pour le traitement des données API constituant des données à caractère personnel lorsqu’ils recueillent ces données et les transfèrent au routeur. Les États membres devront désigner chacun une autorité compétente en tant que responsable du traitement. Les transporteurs aériens devront fournir aux passagers, sur les vols couverts par le règlement, des informations sur la finalité de la collecte de leurs données à caractère personnel, le type de données à caractère personnel recueillies, les destinataires des données à caractère personnel et les moyens d’exercer leurs droits en tant que personnes concernées.
Gouvernance
Au plus tard à la date d’entrée en vigueur du règlement, le conseil d’administration de l’eu-LISA devra établir un conseil de gestion du programme, composé de dix membres. Les questions techniques liées à l’utilisation et au fonctionnement du routeur devront être examinées au sein du groupe de contact API-PNR, au sein duquel des représentants de l’eu-LISA devraient également être présents.
Sanctions
Les États membres devront veiller à ce qu’un manquement récurrent au transfert des données API fasse l’objet de sanctions financières proportionnées pouvant atteindre jusqu’à 2% du chiffre d’affaires mondial du transporteur aérien pour l’exercice précédent. Le non-respect des autres obligations énoncées dans le règlement devra faire l’objet de sanctions proportionnées, y compris financières.
ENTRÉE EN VIGUEUR : 28.1.2025. Le règlement s’applique en ce qui concerne les données API, à compter de la date correspondant à deux ans à compter de la date de mise en service du routeur (quatre ans pour les données PNR).