Pour les finalités prévues au I de l'article L. 232-7 du présent code, un traitement automatisé de données à caractère personnel dénommé " API-PNR France " est mis en œuvre par les ministres de l'intérieur, de la défense, chargé des transports et chargé des douanes.

Ce traitement est confié à l'unité de gestion chargée de la collecte des données prévue au VI de l'article L. 232-7 du présent code. Ce service à compétence nationale dénommé " Unité Information Passagers " (UIP) est rattaché au ministre chargé des douanes. Sa création et son organisation sont fixées par décret.

I.-L'Unité Information Passagers est responsable de la collecte des données des passagers aériens mentionnées aux a et b du I de l'article R. 232-14 transmises par les transporteurs aériens et les agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef, de leur conservation, de leur traitement, de la transmission de ces données ou des résultats de leur traitement aux autorités mentionnées à l'article R. 232-15 et à Europol ainsi que de l'échange de ces données ou des résultats de leur traitement avec les Unités Information Passagers des autres Etats membres de l'Union européenne.

Les résultats du traitement s'entendent au sens de la présente section comme la mise en relation des données des passagers aériens collectées par l'Unité Information Passagers avec les traitements de données à caractère personnel cités au b du II de l'article R. 232-14.

Seuls les personnels affectés au sein de l'Unité Information Passagers, individuellement désignés et spécialement habilités par le directeur de cette unité, et le délégué à la protection des données ont accès aux données à caractère personnel et aux informations enregistrées dans le traitement mentionné à l'article R. 232-12.

II. – Les données des passagers aériens sont traitées par les personnels affectés au sein de l'Unité Information Passagers exclusivement afin de réaliser une évaluation des passagers aériens avant leur arrivée prévue sur le territoire national ou leur départ prévu de celui-ci, afin d'identifier les personnes pour lesquelles un examen plus approfondi est nécessaire au regard des finalités du traitement par les autorités mentionnées à l'article R. 232-15 et, le cas échéant, par Europol dans les conditions prévues à l'article R. 232-18.

Afin de réaliser cette évaluation, les données des passagers aériens :

1° Sont mises en relation avec les traitements mentionnés au b du II de l'article R. 232-14 ;

2° Peuvent faire l'objet d'une analyse au regard de critères préétablis, sur sollicitation des autorités mentionnées à l'article R. 232-15.

Ces critères sont définis en coopération avec les autorités mentionnées à l'article R. 232-15. Ils doivent être ciblés, proportionnés, spécifiques aux infractions et non discriminatoires. Ils ne peuvent être fondés sur des données à caractère personnel qui font apparaître, directement ou indirectement, la prétendue origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale ou celles qui sont relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle des personnes. Ils sont régulièrement mis à jour ou redéfinis.

Toute concordance positive obtenue à la suite de l'évaluation réalisée au titre du présent article est réexaminée individuellement par des moyens non automatisés avant transmission.

III. – Les personnels affectés au sein de l'Unité Information Passagers répondent au cas par cas aux requêtes, formulées par les autorités mentionnées aux articles R. 232-15 et R. 232-16, visant à ce que les données des passagers aériens et le résultat du traitement dont elles font l'objet leur soient communiqués. Ils vérifient au préalable la conformité de ces demandes au regard des attributions légales des autorités mentionnées à l'article R. 232-15 dans le cadre des finalités mentionnées au I de l'article L. 232-7 et au regard des attributions légales des autorités mentionnées à l'article R. 232-16 dans le cadre de la prévention et la détection des infractions terroristes et des infractions mentionnées à l'annexe II de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.

Chaque requête : est motivée et précise la période de temps demandée et peut porter sur les éléments suivants : une ou plusieurs zones géographiques, un ou plusieurs vols, une ou plusieurs personnes, une ou des catégories de données.

I. – Les données à caractère personnel et informations transmises en application du II de l'article L. 232-7 et enregistrées dans le traitement prévu à l'article R. 232-12 sont les suivantes :

a) En ce qui concerne les données de réservation des passagers aériens transmises par les transporteurs aériens et les agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef :

1° Code repère du dossier passager ;

2° Date de réservation/ d'émission du billet ;

3° Date (s) prévue (s) du voyage ;

4° Nom (s), prénom (s), date de naissance ;

5° Adresse et coordonnées (numéro de téléphone, adresse électronique) ;

6° Moyens de paiement, y compris l'adresse de facturation ;

7° Itinéraire complet pour le dossier passager concerné ;

8° Informations " grands voyageurs " tels que les programmes de fidélité ;

9° Agence de voyages/ agent de voyages ;

10° Statut du voyageur tel que confirmations, enregistrement, non-présentation, passager de dernière minute ;

11° Indications concernant la scission/ division du dossier passager ;

11° bis Toutes les informations disponibles sur les mineurs non accompagnés de moins de 18 ans, telles que le nom et le sexe, son âge, la ou les langues parlées, le nom et les coordonnées de la personne présente au départ et son lien avec le mineur, le nom et les coordonnées de la personne présente à l'arrivée et son lien avec le mineur, l'agent présent au départ et à l'arrivée ;

12° Remarques générales, à l'exclusion des données à caractère personnel mentionnées au troisième alinéa du I de l'article L. 232-7 ;

13° Etablissement des billets (numéro du billet, date d'émission, allers simples, décomposition tarifaire) ;

14° Numéro du siège et autres informations concernant le siège ;

15° Informations sur le partage de code ;

16° Toutes les informations relatives aux bagages ;

17° Nombre et autres noms de voyageurs figurant dans le dossier passager ;

18° Tout renseignement préalable sur les passagers données (API) qui a été collecté ;

19° Historique complet des modifications des données de réservation énumérées aux points 1 à 18 ;

b) En ce qui concerne les données d'enregistrement et d'embarquement des passagers aériens transmises par les transporteurs aériens :

1° Code repère du dossier passager ;

2° Numéro et type du document de voyage utilisé ;

3° Nationalité, nom, prénom, date de naissance, sexe ;

4° Point de passage frontalier utilisé pour entrer sur le territoire français ou en sortir ;

5° Code de transport (numéro du vol et code du transporteur aérien) ;

6° Date du vol ;

7° Heures de départ et d'arrivée du transport ;

8° Point d'embarquement initial et de débarquement final des passagers ;

9° Point de départ et d'arrivée du vol ;

10° Date d'expiration du document de voyage ;

11° Statut de la personne embarquée (passager : toute information sur les correspondances) ;

12° Nombre, poids et identification des bagages ;

13° Numéro de siège ;

14° Nombre total des personnes transportées dans l'aéronef ;

15° Etat ou organisation émetteur du document de voyage ;

16° Numéro d'identification du passager ;

II. – Sont également enregistrés dans le traitement :

a) Afin de permettre la mise en relation des données mentionnées au I avec celles du fichier des personnes recherchées, une copie partielle et actualisée de ce dernier constituée des seuls signalements correspondant aux besoins exclusifs des missions confiées aux agents de l'Unité Information Passagers ; cette copie, conservée au sein de la base technique du traitement API-PNR, n'est pas accessible aux agents de cette unité ;

b) Pendant une durée maximale de 24 heures, les fiches des traitements de données suivants dont la mise en relation avec les données mentionnées au I s'est révélée positive, aux seules fins d'exploitation de ces fiches par les autorités mentionnées à l'article R. 232-15 : la copie partielle du fichier des personnes recherchées mentionnée au a, le système d'information Schengen de deuxième génération (SIS II), le fichier des objets et des véhicules signalés, le système informatisé concourant au dispositif de lutte contre les fraudes et le fichier des documents de voyage volés et perdus d'Interpol ;

c) Pendant une durée maximale de 96 heures, les résultats issus de la mise en relation des données mentionnées au I avec les traitements cités au b du présent II ainsi que les résultats issus de l'analyse des données mentionnées au I au regard des critères mentionnés au II de l'article R. 232-13, aux seules fins d'informer les autorités mentionnées à l'article R. 232-15 et aux 1° et 4° de l'article R. 232-16 de l'existence d'une concordance positive obtenue à la suite de l'évaluation mentionnée au II de l'article R. 232-13 ;

d) Les résultats mentionnés au c révélant, à la suite d'un réexamen individuel, une concordance négative, tant que les données mentionnées au I sont conservées en application de l'article R. 232-20 et afin d'éviter de nouvelles concordances positives ;

e) La catégorie et le numéro des fiches contenues dans les traitements cités au b du présent II qui, après vérification, ont permis la prévention ou la constatation d'une des infractions mentionnées au I de l'article L. 232-7 ;

f) Les réponses aux requêtes formulées par les autorités mentionnées aux articles R. 232-15 et R. 232-16.

Peuvent être destinataires des données à caractère personnel et informations enregistrées dans le traitement, dans le cadre de leurs attributions légales et dans la limite du besoin d'en connaître :

I. – Au titre de la prévention et de la constatation des actes de terrorisme, du rassemblement des preuves de ces actes et de la recherche de leurs auteurs :

1° Les agents de la police nationale, de la direction générale de la sécurité intérieure et les militaires de la gendarmerie nationale individuellement désignés et spécialement habilités par l'autorité hiérarchique dont ils relèvent, affectés au sein des services ci-après :

a) Services habilités à formuler des requêtes à l'UIP et à être destinataires des réponses :

- les services de la direction générale de la sécurité intérieure ;

- l'état-major de la direction centrale de la police judiciaire ;

- la sous-direction antiterroriste de la direction centrale de la police judiciaire ;

- l'état-major de la direction régionale de la police judiciaire de Paris ;

- la section antiterroriste de la brigade criminelle de la direction régionale de la police judiciaire de Paris ;

- le bureau de la lutte antiterroriste de la sous-direction de la police judiciaire de la direction générale de la gendarmerie nationale ;

b) Services habilités à être destinataires des données et informations nécessitant une intervention sur les plates-formes aéroportuaires :

- les services et office centraux de la direction centrale de la police aux frontières ;

- les directions et services de la police aux frontières des aéroports ;

- les salles d'information et de commandement des directions départementales de la sécurité publique sur le territoire desquelles existe une plate-forme aéroportuaire sur laquelle elles exercent l'autorité de police générale en aérogare ;

- les centres opérationnels et de renseignement des groupements de gendarmerie sur le territoire desquels existe une plate-forme aéroportuaire sur laquelle la gendarmerie exerce l'autorité de police générale en aérogare ;

- le centre de renseignement opérationnel de la gendarmerie ;

- les unités de la gendarmerie des transports aériens.

2° Aux seules fins de la répression des actes de terrorisme, les agents du service national de la douane judiciaire, individuellement désignés et spécialement habilités par leur chef de service.

II. – Au titre de la prévention des actes de terrorisme :

1° Les agents de la direction générale de la sécurité extérieure, individuellement désignés et spécialement habilités par leur directeur ;

2° Les agents de la direction du renseignement et de la sécurité de la défense, individuellement désignés et spécialement habilités par leur directeur ;

3° Les agents de la direction du renseignement militaire, individuellement désignés et spécialement habilités par leur directeur ;

4° Les agents des douanes individuellement désignés et spécialement habilités par le directeur général des douanes, affectés au sein des services ci-après :

a) Services habilités à formuler des requêtes à l'UIP et à être destinataires des réponses :

- la cellule chargée de la lutte antiterroriste au sein de la direction nationale du renseignement et des enquêtes douanières ;

b) Services habilités à être destinataires des données et informations nécessitant une intervention sur les plates-formes aéroportuaires :

- les services centraux et territoriaux de la direction générale des douanes et droits indirects chargés de la lutte contre la fraude dans les transports internationaux ;

5° Les agents individuellement désignés et spécialement habilités par le directeur du service à compétence nationale dénommé " traitement du renseignement et action contre les circuits financiers clandestins " ;

6° Les agents, individuellement désignés et spécialement habilités par l'autorité hiérarchique dont ils relèvent, affectés dans les services du renseignement territorial ;

7° Les agents, individuellement désignés et spécialement habilités par l'autorité hiérarchique dont ils relèvent, affectés à la sous-direction de l'anticipation opérationnelle de la direction générale de la gendarmerie nationale ;

8° Les agents individuellement désignés et spécialement habilités par l'autorité hiérarchique dont ils relèvent, affectés dans les services de la direction du renseignement de la préfecture de police.

III. – Au titre de la prévention, de la constatation, du rassemblement des preuves et de la recherche des auteurs des infractions mentionnées à l'annexe II de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière :

1° Les agents de la police nationale, de la direction générale de la sécurité intérieure et les militaires de la gendarmerie nationale individuellement désignés et spécialement habilités par l'autorité hiérarchique dont ils relèvent, affectés au sein des services ci-après :

a) Services habilités à formuler des requêtes à l'UIP et à être destinataires des réponses :

- les services de la direction générale de la sécurité intérieure ;

- l'état-major de la direction centrale de la police judiciaire ;

- les services et offices centraux de la direction centrale de la police judiciaire ;

- les directions zonales et régionales de la direction centrale de la police judiciaire ;

- les services et office centraux de la direction centrale de la police aux frontières ;

- l'état-major de la direction centrale de la sécurité publique ;

- le centre de veille opérationnelle de la direction de la coopération internationale ;

- la direction régionale de la police judiciaire de Paris ;

- l'état-major de la direction de la sécurité de proximité de l'agglomération parisienne ;

- la sous-direction de la police judiciaire de la direction générale de la gendarmerie nationale ;

- le service central de renseignement criminel de la gendarmerie nationale ;

- les sections de recherches de la gendarmerie nationale ;

- l'état-major de la gendarmerie des transports aériens ;

- les services territoriaux de premier niveau de la police nationale et de la gendarmerie nationale, pour le seul exercice des missions de police judiciaire dont ils sont saisis au titre de la répression des infractions mentionnées à l'annexe II de la directive précitée ;

- aux seules fins de prévention, les services de la direction du renseignement de la préfecture de police ;

- aux seules fins de prévention, les services du renseignement territorial ;

b) Services habilités à être destinataires des données et informations nécessitant une intervention sur les plates-formes aéroportuaires :

- les services visés au b du I du présent article ;

2° Les agents des douanes individuellement désignés et spécialement habilités par le directeur général des douanes, affectés au sein des services ci-après désignés :

a) Services habilités à formuler des requêtes à l'UIP et à en recevoir les réponses :

- la direction nationale du renseignement et des enquêtes douanières ;

- les services chargés de l'orientation des contrôles au sein des directions des douanes ;

- les cellules de ciblage ;

- les brigades des douanes chargées de la lutte contre l'immigration irrégulière et de la sûreté dans les transports internationaux ;

- les brigades des douanes chargées de la lutte contre la fraude dans les aéroports internationaux ;

- le service national de la douane judiciaire ;

b) Services habilités à être destinataires des données et informations nécessitant une intervention sur les plates-formes aéroportuaires :

- les services centraux de la direction générale des douanes et droits indirects ;

- les centres opérationnels de liaison interservices ;

- les cellules de coordination des aéroports ;

3° Les agents individuellement désignés et spécialement habilités par le directeur du service à compétence nationale dénommé " traitement du renseignement et action contre les circuits financiers clandestins ".

4° Aux seules fins de prévention, les agents de la direction générale de la sécurité extérieure, individuellement désignés et spécialement habilités par leur directeur.

IV. – Au titre de la prévention et de la constatation des atteintes aux intérêts fondamentaux de la Nation, du rassemblement des preuves de ces atteintes et de la recherche de leurs auteurs :

Les agents individuellement désignés et spécialement habilités par le directeur général de la sécurité intérieure, affectés au sein de cette direction.

V. – Au titre de la prévention des atteintes aux intérêts fondamentaux de la Nation :

1° Les agents de la direction générale de la sécurité extérieure, individuellement désignés et spécialement habilités par leur directeur ;

2° Les agents de la direction du renseignement et de la sécurité de la défense, individuellement désignés et spécialement habilités par leur directeur ;

3° Les agents de la direction du renseignement militaire individuellement désignés et spécialement habilités par leur directeur.

VI. – En cas de menace grave et d'urgence avérée et pour les seuls besoins de la prévention des actes de terrorisme et des atteintes aux intérêts fondamentaux de la Nation, le directeur de l'Unité Information Passagers, son adjoint ou un agent individuellement désigné et spécialement habilité peut autoriser, après demande motivée et vérification que les conditions de la visualisation sont respectées, les agents individuellement désignés et spécialement habilités par le directeur général dont ils relèvent et affectés au sein des services ci-après, à être destinataires, pendant une durée maximale de sept jours, de l'ensemble des données collectées au sein du traitement dénommé " API-PNR France " :

- la direction générale de la sécurité extérieure ;

- la direction générale de la sécurité intérieure.

VII. – Aux fins de définir ou d'actualiser les critères et les éléments de recherche relatifs aux passagers des vols concernés, pour les besoins de la prévention du terrorisme et des seuls crimes et délits suivants et mentionnés à l'annexe II de la directive précitée :

- participation à une organisation criminelle ;

- traite des êtres humains ;

- exploitation sexuelle des enfants et pornographie infantile ;

- trafic illicite de stupéfiants et de substances psychotropes ;

- trafic illicite d'armes, de munitions et d'explosifs ;

- fraude y compris la fraude portant atteinte aux intérêts financiers de l'Union européenne ;

- blanchiment du produit du crime ou du délit ;

- faux monnayage, y compris la contrefaçon de l'euro ;

- crimes et délits contre l'environnement, y compris le trafic illicite d'espèces animales menacées et le trafic illicite d'espèces et d'essences végétales menacées ;

- aide à l'entrée et au séjour irrégulier ;

- trafic illicite d'organes et de tissus humains ;

- trafic illicite de biens culturels, y compris antiquités et œuvres d'art ;

- contrefaçon et piratage de produits ;

- falsification de documents administratifs et trafic de faux ;

- trafic illicite de substances hormonales et autres facteurs de croissance ;

- trafic illicite de matières nucléaires et radioactives.

Sont destinataires, selon les modalités prévues au VI et dans le cadre de leurs attributions respectives, pendant une période maximale de vingt-huit jours et pour une destination ou une provenance déterminée, de l'ensemble des données collectées au sein du traitement :

1° Les agents de la direction générale de la sécurité intérieure, individuellement désignés et spécialement habilités par leur directeur ;

2° Les agents de la direction générale de la sécurité extérieure, individuellement désignés et spécialement habilités par leur directeur ;

3° Les agents de la police nationale et les militaires de la gendarmerie nationale, individuellement désignés et spécialement habilités par l'autorité hiérarchique dont ils relèvent, affectés au sein :

- des services et office centraux de la direction centrale de la police aux frontières ;

- des services et offices centraux de la direction centrale de la police judiciaire ;

- de la sous-direction antiterroriste de la direction centrale de la police judiciaire ;

- du service central de renseignement criminel de la gendarmerie nationale.

VIII. – Aux fins de définir ou d'actualiser les critères et les éléments de recherche relatifs aux passagers des vols concernés pour les besoins de la prévention des seuls crimes et délits suivants :

- trafic illicite de stupéfiants et de substances psychotropes ;

- trafic illicite d'armes, de munitions et d'explosifs ;

- fraude y compris fraude portant atteinte aux intérêts financiers de l'Union européenne ;

- blanchiment du produit du crime ou du délit ;

- crimes et délits contre l'environnement, y compris le trafic illicite d'espèces animales menacées et le trafic illicite d'espèces et d'essences végétales menacées ;

- trafic illicite d'organes et de tissus humains ;

- trafic illicite de biens culturels, y compris antiquités et œuvres d'art :

- contrefaçon et piratage de produits ;

- trafic illicite de substances hormonales et autres facteurs de croissance ;

- trafic illicite de matières nucléaires et radioactives.

Sont destinataires, selon les modalités prévues au VI et dans le cadre de leurs attributions respectives, pendant une période maximale de vingt-huit jours et pour une destination ou une provenance déterminée, de l'ensemble des données collectées au sein du traitement :

1° Les agents de la direction générale de la sécurité intérieure, individuellement désignés et spécialement habilités par leur directeur ;

2° Les agents de la direction générale de la sécurité extérieure, individuellement désignés et spécialement habilités par leur directeur ;

3° Les agents des douanes, individuellement désignés et spécialement habilités par le directeur général des douanes affectés au sein :

- de la direction du renseignement douanier ;

- des services territoriaux chargés de l'orientation des contrôles ;

- des brigades réalisant des opérations de ciblage aérien ;

- des cellules de ciblage aérien.

Peuvent également être destinataires des données à caractère personnel et informations enregistrées dans le traitement, au titre de la prévention et de la constatation des actes de terrorisme et des infractions mentionnées à l'annexe II de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 précitée, du rassemblement des preuves de ces actes et de la recherche de leurs auteurs, dans le cadre de leurs attributions et dans la limite du besoin d'en connaître :

1° Les Unités Information Passagers des Etats membres de l'Union européenne, dans les conditions prévues au I de l'article R. 232-17 ;

2° Les autorités des Etats membres de l'Union européenne compétentes en matière de prévention ou de détection des infractions mentionnées au I de l'article L. 232-7 ainsi que d'enquêtes ou de poursuites en la matière, dans les conditions prévues au II de l'article R. 232-17 ;

3° L'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et les agents affectés à l'unité nationale Europol de la division des relations internationales de la direction centrale de la police judiciaire, individuellement désignés et spécialement habilités par l'autorité hiérarchique dont ils relèvent, à l'exception des infractions mentionnées aux points 23,24 et 26 de l'annexe II de la directive précitée et dans les conditions prévues à l'article R. 232-18 ;

4° Les autorités compétentes d'Etats non membres de l'Union européenne, dans les conditions prévues à l'article R. 232-19.

I. – L'Unité Information Passagers transmet, par tout moyen adapté et sécurisé, des données à caractère personnel et informations enregistrées dans le “ système API-PNR France ” ou, après consultation des autorités mentionnées à l'article R. 232-15, le résultat du traitement de ces données aux Unités Information Passagers des autres Etats membres de l'Union européenne dans les conditions suivantes et aux seules fins prévues au I de l'article L. 232-7, à l'exception des atteintes aux intérêts fondamentaux de la Nation :

1° Lorsqu'une personne a été identifiée à la suite de l'évaluation mentionnée au II de l'article R. 232-13, l'Unité Information Passagers transmet les données et informations pertinentes et nécessaires ou le résultat du traitement de ces données aux Unités Information Passagers des autres Etats membres de l'Union européenne concernées. Lorsque l'Unité Information Passagers est destinataire de tels éléments de la part des autres Unités Information Passagers, elle les transmet aux autorités mentionnées à l'article R. 232-15 ;

2° Lorsque l'Unité Information Passagers est saisie par l'Unité Information Passagers d'un autre Etat membre de l'Union européenne d'une demande motivée de transmission de données à caractère personnel et informations enregistrées dans le “ système API-PNR France ” et non encore dépersonnalisées au titre du II de l'article R. 232-20 ainsi que, si nécessaire, le résultat du traitement de ces données si celui-ci a été réalisé en vertu du II de l'article R. 232-13. Si les données requises ont été dépersonnalisées au titre du II de l'article R. 232-20, l'Unité Information Passagers ne transmet l'intégralité de ces données que lorsqu'il existe des motifs raisonnables de croire que cela est nécessaire à l'une des fins mentionnées au I du présent article et dans les conditions fixées au III de l'article R. 232-20. L'Unité Information Passagers transmet ces données et informations dès que possible ;

3° Lorsque l'Unité Information Passagers d'un Etat membre de l'Union européenne demande à l'Unité Information Passagers qu'elle obtienne, tout ou partie des données et informations relatives aux passagers auprès des transporteurs aériens et les lui communique, sous réserve que les conditions prévues au II de l'article R. 232-1-1 soient remplies.

L'Unité Information Passagers nationale peut adresser des demandes aux Unités Information Passagers des autres Etats membres de l'Union européenne dans les conditions prévues aux 2° et 3°.

II. – L'Unité Information Passagers peut être saisie directement par les seules autorités compétentes d'un autre Etat membre de l'Union européenne, dont la liste est publiée au Journal officiel de l'Union européenne, par tout moyen adapté et sécurisé, d'une demande motivée de transmission de données à caractère personnel et informations enregistrées dans le “ système API-PNR France ”, uniquement lorsque cela est nécessaire au regard de l'urgence de la situation et dans les conditions fixées au 2° du I.

Dans les mêmes conditions, celles des autorités mentionnées à l'article R. 232-15 qui figurent sur la liste publiée au Journal officiel de l'Union européenne peuvent adresser des demandes aux Unités Information Passagers des autres Etats membres de l'Union européenne. Une copie de la demande est adressée à l'Unité Information Passagers.

L'Unité Information Passagers peut transmettre à Europol, à sa demande et au cas par cas, des données à caractère personnel et informations enregistrées dans le “ système API-PNR France ” ou, après consultation des autorités mentionnées à l'article R. 232-15, le résultat du traitement de ces données en vue de prévenir ou de détecter une infraction mentionnée au I de l'article L. 232-7, à l'exception des atteintes aux intérêts fondamentaux de la Nation et des infractions mentionnées aux points 23,24 et 26 de l'annexe II de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 précitée et dans les conditions prévues par le règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol).

La demande d'Europol est motivée et effectuée par voie électronique par l'intermédiaire de l'unité nationale Europol de la division des relations internationales de la direction centrale de la police judiciaire.

I. – Les données à caractère personnel et les informations enregistrées dans le “ système API-PNR France ”, ainsi que le résultat du traitement de ces données, peuvent être transférées, au cas par cas et par tout moyen adapté et sécurisé, par l'Unité Information Passagers ou par les autorités mentionnées à l'article R. 232-15 à des Etats non membres de l'Union européenne, dans les conditions fixées aux articles 70-25 à 70-27 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, pour les seules finalités prévues au I de l'article L. 232-7, à l'exception des atteintes aux intérêts fondamentaux de la Nation, et sous réserve que les conditions prévues au 2° du I de l'article R. 232-17 soient remplies et, pour les transferts de données dont l'autorisation préalable ne peut pas être obtenue en temps utile, que ces transferts soient nécessaires pour répondre à une menace précise et réelle liée à une infraction terroriste ou à une forme grave de criminalité dans un Etat membre de l'Union européenne ou un Etat non membre de l'Union européenne.

II. – Le délégué à la protection des données de l'Unité Information Passagers est informé de tous les transferts effectués en application du I.

I. – Les données à caractère personnel et les informations mentionnées à l'article R. 232-14 sont conservées cinq ans à compter de leur transfert à l'Unité Information Passagers.

II. – A l'expiration d'un délai de six mois à compter de leur transfert à l'Unité Information Passagers, les données susceptibles de révéler directement l'identité des passagers aériens sont conservées mais ne peuvent plus être communiquées aux agents appartenant aux autorités mentionnées à l'article R. 232-15.

Ces données sont :

-les noms, prénoms du passager ainsi que, le cas échéant, celui des autres passagers mentionnés dans le dossier passager voyageant avec lui ;

-l'adresse et les coordonnées du passager ;

-tous les moyens de paiement utilisés par celui-ci qui permettent de l'identifier directement, y compris l'adresse de facturation ;

-les informations " grand voyageur " qui permettent de l'identifier ;

-les remarques générales qui permettent d'identifier directement le passager ;

-toute information préalable sur le passager (données API) permettant de l'identifier directement.

III. – Ce n'est que sur demande motivée, lorsqu'il existe des motifs raisonnables de croire que leur communication est nécessaire à l'atteinte de l'une des finalités définies au I de l'article L. 232-7, et après autorisation expresse du directeur de l'Unité Information Passagers ou en cas d'absence, de son adjoint ou de la personne désignée à cet effet, que les agents appartenant aux autorités susmentionnées pourront être destinataires des données mentionnées au II du présent article. Le délégué à la protection des données de l'Unité Information Passagers est tenu informé de toute communication effectuée en application du présent paragraphe, à l'exclusion de celle relative aux atteintes aux intérêts fondamentaux de la Nation, et veille à leur légalité au regard des conditions susmentionnées.

IV. – Si les données de réservation transférées par les transporteurs aériens et par les agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef comportent des données à caractère personnel autres que celles énumérées à l'article R. 232-14, notamment des données à caractère personnel mentionnées au troisième alinéa de l'article L. 232-7, l'Unité d'Information Passagers les efface sans délai et de façon définitive dès leur réception.

Toutes opérations, notamment la collecte, la consultation, la communication et l'effacement des données à caractère personnel et des informations mentionnées à l'article R. 232-14, effectuées sur le traitement font l'objet d'enregistrements comprenant :

-les demandes formulées par les autorités compétentes et les Unités Information Passagers des autres Etats membres de l'Union européenne ;

-les demandes et les transferts vers des Etats non membres de l'Union européenne ;

-la finalité de la demande, de la communication et de la consultation ;

-la date et l'heure de ces opérations ;

-l'identifiant de l'agent à l'origine de la demande ;

-l'identifiant de l'agent ayant validé la demande ;

-l'identifiant de celui ayant validé les résultats et les ayant transmis.

Sont également enregistrés dans un registre les noms et coordonnées des agents de l'Unité Information Passagers chargés du traitement des données et informations mentionnées à l'article R. 232-14 ainsi que leur niveau d'autorisation d'accès.

Ces informations sont utilisées uniquement à des fins de vérification, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données ou d'audit.

Ces informations sont mises à la disposition de la Commission nationale de l'informatique et des libertés, à sa demande.

Ces informations sont conservées pendant cinq ans.

I. – Conformément aux articles 70-19 et 70-20 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, les droits d'accès, de rectification et d'effacement des données mentionnées à l'article R. 232-14 s'exercent directement auprès du directeur de l'Unité Information Passagers ou de son adjoint.

En application du I de l'article 70-21 de la même loi, le directeur de l'Unité Information Passager peut, aux fins de protéger la sécurité publique ou la sécurité nationale ou d'éviter de nuire à la prévention et la constatation des infractions mentionnées au I de l'article L. 232-7, du rassemblement des preuves de ces atteintes et de la recherche de leurs auteurs, refuser le droit d'accès et ne pas informer la personne concernée du refus de rectifier, d'effacer ou de limiter les données à caractère personnel relatives à la mention “ connu ” ou “ inconnu ” au fichier des personnes recherchées, dans le système d'information Schengen de deuxième génération, le fichier des objets et des véhicules signalés, le système informatisé concourant au dispositif de lutte contre les fraudes et le fichier des documents de voyage volés et perdus d'Interpol et aux résultats des requêtes formulées par les autorités énumérées aux articles R. 232-15 et R. 232-16. La personne concernée par ces restrictions exerce ses droits auprès de la Commission nationale de l'informatique et des libertés en application de l'article 70-22 de la même loi.

II. – Le droit d'opposition prévu à l'article 38 de la même loi ne s'applique pas au présent traitement.

III. – Lorsqu'une violation de données à caractère personnel est susceptible d'entraîner un risque élevé pour la protection des données à caractère personnel ou d'affecter négativement la vie privée de la personne concernée, l'Unité Information Passagers notifie cette violation à la personne concernée et à la Commission nationale de l'informatique et des libertés dans les conditions et sous réserve des restrictions prévues à l' article 70-16 de la loi du 6 janvier 1978 précitée .