COM(2022) 729 final
du 13/12/2022
Contrôle de subsidiarité (article 88-6 de la Constitution)
Deux propositions de règlement relatifs à la collecte et au transfert des informations préalables sur les passagers (API) en vue de renforcer et de faciliter les contrôles aux frontières extérieures (COM (2022) 729) et pour la prévention et la détection des infractions terroristes et des formes graves de criminalité ainsi que pour les enquêtes et les poursuites en la matière (COM (2022) 731)
A) Pourquoi la Commission européenne propose-t-elle de modifier les règles de collecte et de transfert des informations préalables sur les passagers (API) ?
1) Définition des données API :
Les données API (pour « Advanced Passenger Information ») sont les données d'enregistrement et d'embarquement transmises par les passagers aériens aux transporteurs aériens préalablement à leur voyage, lors de leur enregistrement. En pratique, ces informations comprennent les données biographiques des passagers, en principe extraites de la zone de lecture automatique de leurs documents de voyage, ainsi que certains renseignements concernant leur vol.
Elles se distinguent des données dites PNR (pour « Passenger Name Record ») qui sont les informations nécessaires aux transporteurs aériens pour instruire et contrôler les réservations des passagers aériens.
2) La collecte et le traitement des données d'enregistrement et d'embarquement résultent d'une obligation internationale :
La mise en oeuvre de systèmes de collecte et de transfert des données d'enregistrement et d'embarquement résulte de la Convention relative à l'aviation civile internationale de 1944, dite Convention de Chicago.
Au sein de l'Union européenne, conformément aux dispositions de la directive 2004/82/CE1(*), ces données sont collectées et transférées aux autorités nationales compétentes de l'État de destination des passagers, à des fins de contrôles aux frontières et de lutte contre l'immigration clandestine. En pratique, les autorités concernées doivent en faire la demande et, dans l'affirmative, les données doivent leur être transmises avant la fin de l'enregistrement des passagers.
3) Pourquoi proposer une révision de la réglementation européenne actuelle ?
Dans son évaluation sur la directive 2004/82/CE2(*), la Commission européenne a d'abord confirmé la pertinence du cadre juridique mis en place. L'évaluation a cependant ensuite souligné trois limites de la directive, appelant, en conséquence à sa révision :
- un « défaut de normalisation et d'harmonisation », la transposition du texte par les États membres ayant été « hétérogène » ;
- le choix laissé aux pays de mise en oeuvre de recueillir et d'utiliser les données d'enregistrement et d'embarquement « à des fins répressives » ne s'est accompagné ni d'une définition claire de cet objectif ni de l'établissement d'un cadre pour le traitement des données ;
- les prescriptions de la directive en matière de protection des données personnelles et, plus généralement, son dispositif, ne sont plus en phase avec les instruments juridiques les plus récents.
En outre, les informations sur les voyageurs aériens constituent un outil important pour permettre aux autorités répressives de lutter contre les formes graves de criminalité et le terrorisme au sein de l'Union européenne. À cet égard, le traitement conjoint des données API et PNR par les autorités répressives compétentes « augmente sensiblement » l'efficacité de cette lutte et permet aux autorités répressives concernées, avant l'arrivée des passagers, de procéder à une évaluation et de ne contrôler étroitement que les personnes les plus susceptibles de représenter une menace pour la sécurité, ce qui facilite le déplacement des autres passagers.
Cependant, si la directive PNR actuelle3(*) permet le traitement conjoint des données API et PNR, puisqu'elle englobe « toute information préalable sur les passagers qui a été recueillie » (et donc, les données API), les règles européennes en vigueur n'obligent pas les transporteurs aériens à recueillir les données API pour lutter contre les formes graves de criminalité et le terrorisme
En effet, en l'état du droit de l'Union européenne, seules les données PNR peuvent être utilisées pour répondre à cet objectif.. Les données API ne peuvent être réclamées que pour les vols en provenance de pays tiers, « ce qui crée une faille de sécurité, notamment en ce qui concerne les vols intra-UE. »
***
B) Les propositions de règlement
Les deux propositions de règlement présentées ont pour objectif de se substituer à la directive 2004/82/CE, qui serait supprimée4(*).
En pratique :
La proposition de règlement COM(2022) 729 final est applicable aux transporteurs aériens assurant des vols réguliers ou non à destination de l'Union européenne. Elle tend à « renforcer » et à « faciliter l'efficacité et l'efficience des vérifications aux frontières extérieures » et à « lutter contre l'immigration irrégulière », en précisant les modalités de la collecte, par les transporteurs aériens, des données d'enregistrement et d'embarquement sur les vols précités.
Les données d'enregistrement et d'embarquement : |
Les données qui doivent faire l'objet d'une collecte et d'un transfert par les transporteurs aériens sont les suivantes : a) Le nom du passager et son ou ses prénoms ; b) Sa date de naissance, son sexe et sa nationalité ; c) Le type de document de voyage, son numéro et le code à trois lettres du pays de délivrance du document, sa date d'expiration ; d) Le statut du voyageur (membre d'équipage ou passager), le numéro d'identification du passager dans le système d'information du transporteur aérien, ainsi que les informations relatives au siège et aux bagages du passager ; e) Le numéro du vol concerné, le point de passage frontalier d'entrée sur le territoire d'un État membre, le code de l'aéroport d'entrée, le point d'embarquement initial, la date locale de départ et l'heure de départ prévue, la date locale d'arrivée et l'heure d'arrivée prévue. |
Dans le dispositif envisagé, les transporteurs aériens, sauf impossibilité matérielle, devraient recueillir les données à l'aide de moyens automatisés et les transférer « au moment de l'enregistrement et immédiatement après la clôture du vol. », à un routeur5(*) qui, « immédiatement et de manière automatisée », les transmettrait aux autorités frontalières compétentes.
Le routeur serait créé, hébergé et sécurisé par l'agence européenne pour la gestion opérationnelle des systèmes d'information au sein de l'Espace de liberté, de sécurité et de justice (EU-Lisa). Signalons que, selon les estimations de la Commission européenne, la mise en place de ce routeur nécessiterait un budget supplémentaire d'environ 45 millions d'euros6(*) et la création de 27 nouveaux postes. Pour les États membres, la Commission européenne estime à 27 millions d'euros, le montant nécessaire à la modernisation des infrastructures nationales des autorités chargées de la gestion des frontières7(*).
Les garanties du Règlement général sur la protection des données seraient applicables : conservation des données concernées par les transporteurs aériens et les autorités frontalières limitée à 48 heures ; mise en place de registres de toutes les opérations de traitement ; désignation de responsables de traitement ; contrôle interne par les transporteurs et les autorités frontalières du respect de leurs obligations et audits indépendants par les autorités nationales de protection des données.
Enfin, la proposition de règlement prévoit la désignation d'autorités de contrôle nationales et demande aux États membres de déterminer les sanctions applicables si son dispositif n'est pas respecté.
Sur la base de ce même routeur et de ces mêmes infrastructures nationales, la proposition de règlement COM(2022) 731 final étend la collecte et le transfert des données d'enregistrement et d'embarquement par les transporteurs aériens assurant des vols internes à l'Union européenne ou externes, réguliers ou non (ce qui permet de viser les vols privés et les charters), « aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière »8(*).
Ce faisant, collecte et transfert des données d'enregistrement et d'embarquement seraient désormais calquées sur celles des données « passagers » (PNR).
Les modalités techniques du transfert de données seraient toujours les mêmes : envoi des données par les transporteurs au routeur, « au moment de l'enregistrement et immédiatement après la clôture du vol », puis transmission par le routeur aux autorités compétentes (dénommées UIP) de l'État membre sur le territoire duquel le vol doit atterrir ou du territoire duquel il doit décoller, ou des deux États membres concernés s'il s'agit d'un vol interne à l'Union européenne.
L'adaptation des systèmes nationaux des « UIP » au routeur nécessiterait un budget estimé à 11 millions d'euros9(*), et leur fonctionnement, un montant de 2 millions d'euros par an, à partir de 2028.
Les dispositions déjà évoquées en matière de protection des données personnelles, de contrôle du respect des obligations des transporteurs et de sanction des violations au nouveau cadre réglementaire, seraient également applicables.
Enfin, signalons que, pour les deux propositions, la Commission européenne serait habilitée à prendre des actes délégués pour préciser les exigences techniques, les protocoles communs et les formats de données à appliquer pour la collecte et le transfert des données ainsi que les connexions au routeur.10(*)
***
C) Les propositions de règlement sont-elles conformes au principe de subsidiarité ?
1) Les propositions de règlement soumises à votre examen sont-elles nécessaires ?
La fluidification des contrôles des voyageurs aériens dans l'espace aérien des États membres de l'Union européenne, le renforcement de l'efficacité de la lutte contre l'immigration illégale dans les aéroports des États membres de l'Union européenne, et la détection facilitée des criminels et terroristes qui viendraient à se déplacer par voie aérienne sont trois objectifs d'intérêt général qui justifient effectivement l'actualisation, par la voie de règlements, du cadre juridique actuel sur la collecte et le transfert des données API.
Plus spécifiquement, l'utilisation combinée des données API et PNR au bénéfice de la lutte contre la grande criminalité et le terrorisme répondrait à plusieurs résolutions du Conseil de sécurité des Nations unies, adoptées depuis 201411(*), et mettrait en oeuvre la stratégie de l'Union européenne pour un espace Schengen pleinement opérationnel et résilient, adoptée en juin 202112(*).
Ces objectifs nécessitent - à l'évidence - une coopération européenne active et renforcée.
2) De là, la présente réforme est-elle fondée sur des bases juridiques pertinentes ?
Sur ce point, la réponse est également affirmative.
La proposition de règlement COM(2022) 729 final, relative aux transferts des données d'enregistrement et d'embarquement aux autorités frontalières, est en effet fondée à la fois sur l'article 77, paragraphe 2, points b) et d) et sur l'article 79, paragraphe 2, point c), du traité sur le fonctionnement de l'Union européenne (TFUE).
Au titre de la première disposition, l'Union européenne a le pouvoir d'adopter des mesures portant sur les contrôles auxquels sont soumises les personnes franchissant les frontières extérieures (point b)) et a la capacité d'adopter toute mesure nécessaire à l'établissement progressif d'un système intégré de gestion desdites frontières (point d)). Au titre de l'article 79, paragraphe 2, point c) précité, le Conseil et le Parlement européen statuant conformément à la procédure législative ordinaire, peuvent adopter des mesures contre l'immigration clandestine et le séjour irrégulier.
La proposition de règlement COM(2022) 731 final, relative aux transferts de données API aux fins de prévention et de lutte contre la criminalité grave et le terrorisme est à la fois fondée sur les dispositions de l'article 82, paragraphe 1, point d) du TFUE, qui autorisent le Conseil et le Parlement européen statuant conformément à la procédure législative ordinaire, à prendre des mesures visant « à faciliter la coopération entre les autorités judiciaires ou équivalentes des États membres dans le cadre des poursuites pénales et de l'exécution de leurs décisions », et celles de l'article 87, paragraphe 2, point a), qui leur permettent de prendre des mesures autorisant « la collecte, le stockage, le traitement, l'analyse et l'échange d'informations pertinentes » dans le cadre de la coopération policière.
3) Enfin, la réforme proposée est-elle proportionnée aux objectifs poursuivis ?
Une nouvelle fois, la réponse est affirmative. D'une part, l'amélioration des contrôles aux frontières extérieures aériennes de l'Union européenne est une nécessité, afin de conforter la crédibilité et la sécurité du système de gestion des frontières extérieures et de mieux dissuader l'immigration illégale. À cet égard, il faut rappeler que l'utilisation des données API compléterait efficacement la mise en oeuvre imminente du système européen d'information et d'autorisation concernant les voyages (ETIAS) et du système d'entrée/sortie (EES) (voir en annexe).
D'autre part, comme le soulignent les rapports annuels d'évaluation des risques de l'agence européenne de coopération policière, Europol, la grande criminalité transfrontalière connaît un développement préoccupant tant aux lisières de l'Union européenne qu'au sein des États membres, et la menace terroriste sur les États membres de l'Union européenne demeure réelle.
En outre, les transferts des données API à des fins de prévention et de lutte contre la criminalité grave et le terrorisme se feraient sur la base d'une liste restreinte et fermée de données et de vols entre États membres préalablement sélectionnés. Ceci, afin de se conformer à la jurisprudence récente de la Cour de justice de l'Union européenne (CJUE) au sujet de la collecte des données PNR.
Dans son arrêt « Ligue des droits humains » du 21 juin 2022 (C-817/19), la Cour a en effet précisé :
- que le transfert, le traitement et la conservation des données PNR pouvaient être considérés comme limités au strict nécessaire aux fins de la lutte contre le terrorisme et les formes graves de criminalité si les pouvoirs prévus font l'objet d'une « interprétation restrictive » ;
- que le système établi ne doit couvrir que des informations clairement identifiables et circonscrites, en rapport avec le passager concerné et le vol effectué et que l'éventuelle extension de l'application du système de transfert et de traitement des données PNR à tout ou partie des vols internes à l'Union européenne doit être limitée au strict nécessaire. Ainsi, en l'absence de menace terroriste, il ne peut s'appliquer à l'ensemble des vols précités ;
- que le respect des exigences énoncées doit être assuré par une juridiction ou par une autorité de contrôle indépendante.
Compte tenu de ces observations, le groupe de travail sur la subsidiarité a décidé de ne pas intervenir plus avant sur ces textes au titre de l'article 88-6 de la Constitution, mais d'approfondir leur examen au fond au titre de l'article 88-4 de la Constitution.
* 1 Directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers.
* 2 SWD(2020) 174final, 8 septembre 2020.
* 3 Directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.
* 4 Article 33 de la proposition de règlement COM(2022) 729 final.
* 5 Un routeur est un équipement informatique qui guide et oriente les données d'un réseau informatique à l'aide d'un paquet de données telles que des fichiers ou des communications.
* 6 33 millions d'euros au titre de l'actuel Cadre financier pluriannuel (CFP) pour mettre le routeur en place et 9 millions d'euros par an à partir de 2029 pour sa gestion technique.
* 7 Ces sommes pourraient toutefois faire l'objet de remboursements de la part de l'instrument de soutien financier à la gestion des frontières et à la politique des visas.
* 8 Articles premier et 2 de la proposition de règlement COM(2022) 731 final.
* 9 Les dépenses concernées pourraient pourrait faire l'objet d'un remboursement à partir du Fonds pour la sécurité intérieure.
* 10 Articles 37 de la proposition de règlement COM(2022) 729 final et 19 de la proposition de règlement COM(2022) 731 final.
* 11 Résolutions 2178(2014, 2309(2016), 2396(2017) et 2482(2019) et décision 6/16 du conseil ministériel de l'Organisation pour la sécurité et la coopération en Europe (OSCE) du 9 décembre 2016 sur le renforcement de l'utilisation des renseignements préalables concernant les voyageurs.
* 12 Communication COM(2021) 277 final du 2 juin 2021.
Examen dans le cadre de l'article 88-4 de la Constitution
Texte déposé au Sénat le 07/02/2023Justice et affaires intérieures
Proposition de
règlement du Parlement européen et du Conseil relatif à la
collecte et au transfert des informations préalables sur les passagers
(API) en vue de renforcer et de faciliter les contrôles aux
frontières extérieures, modifiant le règlement (UE)
2019/817 et le règlement (UE) 2018/1726, et abrogeant la directive
2004/82/CE du Conseil
COM(2022) 729 final - Texte
E17473
A) Pourquoi la Commission européenne propose-t-elle de modifier les règles de collecte et de transfert des informations préalables sur les passagers (API) ?
1) Définition des données API :
Les données API (pour « Advanced Passenger Information ») sont les données d'enregistrement et d'embarquement transmises par les passagers aériens aux transporteurs aériens préalablement à leur voyage, lors de leur enregistrement. En pratique, ces informations comprennent les données biographiques des passagers, en principe extraites de la zone de lecture automatique de leurs documents de voyage, ainsi que certains renseignements concernant leur vol.
Elles se distinguent des données dites PNR (pour « Passenger Name Record ») qui sont les informations nécessaires aux transporteurs aériens pour instruire et contrôler les réservations des passagers aériens.
2) La collecte et le traitement des données d'enregistrement et d'embarquement résultent d'une obligation internationale :
La mise en oeuvre de systèmes de collecte et de transfert des données d'enregistrement et d'embarquement résulte de la Convention relative à l'aviation civile internationale de 1944, dite Convention de Chicago.
Au sein de l'Union européenne, conformément aux dispositions de la directive 2004/82/CE1(*), ces données sont collectées et transférées aux autorités nationales compétentes de l'État de destination des passagers, à des fins de contrôles aux frontières et de lutte contre l'immigration clandestine. En pratique, les autorités concernées doivent en faire la demande et, dans l'affirmative, les données doivent leur être transmises avant la fin de l'enregistrement des passagers.
3) Pourquoi proposer une révision de la réglementation européenne actuelle ?
Dans son évaluation sur la directive 2004/82/CE2(*), la Commission européenne a d'abord confirmé la pertinence du cadre juridique mis en place. L'évaluation a cependant ensuite souligné trois limites de la directive, appelant, en conséquence à sa révision :
- un « défaut de normalisation et d'harmonisation », la transposition du texte par les États membres ayant été « hétérogène » ;
- la possibilité laissée aux pays de mise en oeuvre de recueillir et d'utiliser les données d'enregistrement et d'embarquement « à des fins répressives » ne s'est accompagnée ni d'une définition claire de cet objectif ni de l'établissement d'un cadre pour le traitement des données ;
- les prescriptions de la directive en matière de protection des données personnelles et, plus généralement, son dispositif, ne sont plus en phase avec les instruments juridiques les plus récents.
En outre, les informations sur les voyageurs aériens constituent un outil important pour permettre aux autorités répressives de lutter contre les formes graves de criminalité et le terrorisme au sein de l'Union européenne. À cet égard, le traitement conjoint des données API et PNR par les autorités répressives compétentes « augmente sensiblement » l'efficacité de cette lutte et permet aux autorités répressives concernées, avant l'arrivée des passagers, de procéder à une évaluation et de ne contrôler étroitement que les personnes les plus susceptibles de représenter une menace pour la sécurité, ce qui facilite le déplacement des autres passagers.
Cependant, si la directive PNR actuelle3(*) permet le traitement conjoint des données API et PNR, puisqu'elle englobe « toute information préalable sur les passagers qui a été recueillie » (et donc, les données API), les règles européennes en vigueur n'obligent pas les transporteurs aériens à recueillir les données API pour lutter contre les formes graves de criminalité et le terrorisme
En effet, en l'état du droit de l'Union européenne, seules les données PNR peuvent être utilisées pour répondre à cet objectif. Les données API ne peuvent être réclamées que pour les vols en provenance de pays tiers, « ce qui crée une faille de sécurité, notamment en ce qui concerne les vols intra-UE ».
B) La proposition de règlement
Les deux propositions de règlement présentées ont vocation à se substituer à la directive 2004/82/CE, qui serait supprimée4(*).
En pratique :
La proposition de règlement COM(2022) 729 final est applicable aux transporteurs aériens assurant des vols réguliers ou non à destination de l'Union européenne. Elle tend à « renforcer » et à « faciliter l'efficacité et l'efficience des vérifications aux frontières extérieures » et à « lutter contre l'immigration irrégulière », en précisant les modalités de la collecte, par les transporteurs aériens, des données d'enregistrement et d'embarquement sur les vols précités.
Les données d'enregistrement et d'embarquement : Les données qui doivent faire l'objet d'une collecte et d'un transfert par les transporteurs aériens sont les suivantes : a) Le nom du passager et son ou ses prénoms ; b) Sa date de naissance, son sexe et sa nationalité ; c) Le type de document de voyage, son numéro et le code à trois lettres du pays de délivrance du document, sa date d'expiration ; d) Le statut du voyageur (membre d'équipage ou passager), le numéro d'identification du passager dans le système d'information du transporteur aérien, ainsi que les informations relatives au siège et aux bagages du passager ; e) Le numéro du vol concerné, le point de passage frontalier d'entrée sur le territoire d'un État membre, le code de l'aéroport d'entrée, le point d'embarquement initial, la date locale de départ et l'heure de départ prévue, la date locale d'arrivée et l'heure d'arrivée prévue. |
Dans le dispositif envisagé, les transporteurs aériens, sauf impossibilité matérielle, devraient recueillir les données à l'aide de moyens automatisés et les transférer, « au moment de l'enregistrement et immédiatement après la clôture du vol », à un routeur qui, « immédiatement et de manière automatisée », les transmettrait aux autorités frontalières compétentes.
Le routeur serait créé, hébergé et sécurisé par l'agence européenne pour la gestion opérationnelle des systèmes d'information au sein de l'Espace de liberté, de sécurité et de justice (EU-Lisa). Signalons que, selon les estimations de la Commission européenne, la mise en place de ce routeur nécessiterait un budget supplémentaire d'environ 45 millions d'euros5(*) et la création de 27 nouveaux postes. Pour les États membres, la Commission européenne estime à 27 millions d'euros, le montant nécessaire à la modernisation des infrastructures nationales des autorités chargées de la gestion des frontières6(*).
Les garanties du Règlement général sur la protection des données seraient applicables : conservation des données concernées par les transporteurs aériens et les autorités frontalières limitée à 48 heures ; mise en place de registres de toutes les opérations de traitement ; désignation de responsables de traitement ; contrôle interne par les transporteurs et les autorités frontalières du respect de leurs obligations et audits indépendants par les autorités nationales de protection des données.
Enfin, la proposition de règlement prévoit la désignation d'autorités de contrôle nationales et demande aux États membres de déterminer les sanctions applicables si son dispositif n'est pas respecté.
Compte tenu de ces éléments, la commission a décidé de ne pas intervenir plus avant sur ce texte.
* (1) 1 Directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers.
* (2) 2 SWD(2020) 174final, 8 septembre 2020.
* (3) 3 Directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.
* (4) 4 Article 33 de la proposition de règlement COM(2022) 729 final.
* (5) 5 33 millions d'euros au titre de l'actuel Cadre financier pluriannuel (CFP) pour mettre le routeur en place et 9 millions d'euros par an à partir de 2029 pour sa gestion technique.
* (6) 6 Ces sommes pourraient toutefois faire l'objet de remboursements de la part de l'instrument de soutien financier à la gestion des frontières et à la politique des visas.