Décret n° 2018-714 du 3 août 2018 relatif au « système API-PNR France » et modifiant le code de la sécurité intérieure (partie réglementaire)

NOR : INTD1807034D
ELI : https://www.legifrance.gouv.fr/eli/decret/2018/8/3/INTD1807034D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2018/8/3/2018-714/jo/texte
JORF n°0181 du 8 août 2018
Texte n° 2

Version initiale


Publics concernés : direction générale de la police nationale, direction générale de la sécurité intérieure, direction générale de la gendarmerie nationale, service national de la douane judiciaire, direction générale de la sécurité extérieure, direction du renseignement et de la sécurité de la défense, direction du renseignement militaire, direction générale des douanes et droits indirects, service du traitement du renseignement et action contre les circuits financiers clandestins, services du renseignement territorial, direction du renseignement de la préfecture de police, Unités Informations Passagers des États membres de l'Union européenne, autorités compétentes des États membres de l'Union européenne, Europol, autorités compétentes des États non membres de l'Union européenne.
Objet : modification d'un traitement de données à caractère personnel dénommé « système API-PNR France ».
Entrée en vigueur : le décret entre en vigueur le lendemain de sa publication .
Notice : le décret modifie le traitement automatisé de données à caractère personnel dénommé « API-PNR France » mis en œuvre par les ministres de l'intérieur, de la défense, chargé des transports et chargé des douanes. Par la mise en œuvre de ce traitement, les transporteurs aériens, et le cas échéant, les agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef recueillent et transmettent les données d'enregistrement et d'embarquement (données API) et les données de réservation (données PNR) relatives aux passagers dans leurs déplacements à destination et en provenance du territoire national, à l'exception des déplacements reliant deux points de la France métropolitaine. Le décret modifie les finalités du traitement, la durée de conservation des données enregistrées, les catégories de personnes ayant accès aux données, les catégories de personnes pouvant être destinataires des données, les modalités d'échange et de transfert des données ainsi que les modalités d'exercice des droits d'accès et de rectification des données. Il complète les modalités de traçabilité du « système API-PNR France ».
Références : le décret et le code de la sécurité intérieure, dans sa rédaction issue de cette modification peuvent être consultés sur le site Légifrance (http://www.legifrance.gouv.fr). Le décret est pris pour la transposition de la directive (UE) n° 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.


Le Premier ministre,
Sur le rapport du ministre d'Etat, ministre de l'intérieur, du ministre d'Etat, ministre de la transition écologique et solidaire, de la ministre des armées et du ministre de l'action et des comptes publics,
Vu le règlement (UE) n° 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) ;
Vu la directive (UE) n° 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données ;
Vu la directive (UE) n° 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière ;
Vu la décision d'exécution (UE) n° 2017/759 de la Commission européenne du 28 avril 2017 sur les protocoles communs et formats de données devant être utilisés par les transporteurs aériens lors d'un transfert de données PNR aux unités d'information passagers ;
Vu le code de la sécurité intérieure, notamment son article L. 232-7 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-569 du 28 mai 2010 modifié relatif au fichier des personnes recherchées ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 14 juin 2018 ;
Le Conseil d'Etat (section de l'intérieur) entendu,
Décrète :


  • L'article R. 232-1-1 du code de la sécurité intérieure est remplacé par les dispositions suivantes :


    « Art. R. 232-1-1.-I.-Les données de réservation mentionnées au a du I de l'article R. 232-14 sont transmises par les transporteurs aériens et les agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef une première fois quarante-huit heures avant le départ du vol et une seconde fois immédiatement après la clôture du vol, par envoi électronique sécurisé, à l'unité de gestion visée au VI de l'article L. 232-7, dans l'un des formats prévus par la décision d'exécution (UE) 2017/759 de la Commission européenne du 28 avril 2017 sur les protocoles communs et formats de données devant être utilisés par les transporteurs aériens lors d'un transfert de données PNR aux unités d'information passagers. Les transporteurs aériens et, le cas échéant, les agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef peuvent limiter le second envoi aux mises à jour des données transférées lors du premier envoi. Les données d'enregistrement et d'embarquement mentionnées au b du I de l'article R. 232-14 sont transmises par les transporteurs aériens à la clôture du vol, par envoi électronique sécurisé, à l'unité de gestion mentionnée au VI de l'article L. 232-7, dans l'un des formats prévus par la décision d'exécution précitée.
    « II.-Par dérogation, lorsque l'accès à des données de réservation et à des données d'enregistrement et d'embarquement est nécessaire pour répondre à une menace précise et réelle liée à une des infractions mentionnées au I de l'article L. 232-7, à l'exception des atteintes aux intérêts fondamentaux de la Nation, les transporteurs aériens transfèrent ces données, au cas par cas, en dehors des créneaux mentionnés au I du présent article, à la demande de l'Unité Information Passagers, sur sollicitation des autorités mentionnées à l'article R. 232-15. »


  • L'article R. 232-5-1 du même code est ainsi modifié :
    1° Au I, après les mots : « transporteur aérien », sont insérés les mots : « ou par une agence de voyage ou un opérateur de voyage ou de séjour affrétant tout ou partie d'un aéronef » ;
    2° Le I est complété par les mots : «, sous réserve des dispositions particulières du présent article » ;
    3° Au II et au III, les quatre occurrences des mots : « de transport » sont supprimées ;
    4° Le IV est remplacé par deux alinéas ainsi rédigés :
    « IV.-Le directeur de l'UIP arrête la décision mentionnée à l'article L. 232-5, après l'expiration du délai fixé, au vu des observations qui ont pu être produites. La décision écrite et motivée est notifiée à l'entreprise par lettre recommandée avec demande d'avis de réception.
    « V.-En cas de sanction, l'amende est recouvrée dans les conditions prévues pour les créances de l'Etat. »


  • L'article R. 232-12 du même code est ainsi modifié :
    1° Au premier alinéa, les mots : « à l'article L. 232-7 du présent code » sont remplacés par les mots : « au I de l'article L. 232-7 » ;
    2° Au second alinéa, les mots : « au VI de l'article 232-7 du présent code » sont remplacés par les mots : « au VI de l'article L. 232-7 ».


  • L'article R. 232-13 du même code est ainsi modifié :
    1° Le premier alinéa est remplacé par les dispositions suivantes :
    « I.-L'Unité Information Passagers est responsable de la collecte des données des passagers aériens mentionnées aux a et b du I de l'article R. 232-14 transmises par les transporteurs aériens et les agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef, de leur conservation, de leur traitement, de la transmission de ces données ou des résultats de leur traitement aux autorités mentionnées à l'article R. 232-15 et à Europol ainsi que de l'échange de ces données ou des résultats de leur traitement avec les Unités Information Passagers des autres Etats membres de l'Union européenne.
    « Les résultats du traitement s'entendent au sens de la présente section comme la mise en relation des données des passagers aériens collectées par l'Unité Information Passagers avec les traitements de données à caractère personnel cités au b du II de l'article R. 232-14. » ;
    2° Au deuxième alinéa, après les mots : « de cette unité, » sont insérés les mots : « et le délégué à la protection des données » et les mots : « du présent code » sont supprimés ;
    3° Le troisième alinéa est remplacé par un II et un III ainsi rédigés :
    « II.-Les données des passagers aériens sont traitées par les personnels affectés au sein de l'Unité Information Passagers exclusivement afin de réaliser une évaluation des passagers aériens avant leur arrivée prévue sur le territoire national ou leur départ prévu de celui-ci, afin d'identifier les personnes pour lesquelles un examen plus approfondi est nécessaire au regard des finalités du traitement par les autorités mentionnées à l'article R. 232-15 et, le cas échéant, par Europol dans les conditions prévues à l'article R. 232-18.
    « Afin de réaliser cette évaluation, les données des passagers aériens :
    « 1° Sont mises en relation avec les traitements mentionnés au b du II de l'article R. 232-14 ;
    « 2° Peuvent faire l'objet d'une analyse au regard de critères préétablis, sur sollicitation des autorités mentionnées à l'article R. 232-15.
    « Ces critères sont définis en coopération avec les autorités mentionnées à l'article R. 232-15. Ils doivent être ciblés, proportionnés, spécifiques aux infractions et non discriminatoires. Ils ne peuvent être fondés sur des données à caractère personnel qui font apparaître, directement ou indirectement, la prétendue origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale ou celles qui sont relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle des personnes. Ils sont régulièrement mis à jour ou redéfinis.
    « Toute concordance positive obtenue à la suite de l'évaluation réalisée au titre du présent article est réexaminée individuellement par des moyens non automatisés avant transmission.
    « III.-Les personnels affectés au sein de l'Unité Information Passagers répondent au cas par cas aux requêtes, formulées par les autorités mentionnées aux articles R. 232-15 et R. 232-16, visant à ce que les données des passagers aériens et le résultat du traitement dont elles font l'objet leur soient communiqués. Ils vérifient au préalable la conformité de ces demandes au regard des attributions légales des autorités mentionnées à l'article R. 232-15 dans le cadre des finalités mentionnées au I de l'article L. 232-7 et au regard des attributions légales des autorités mentionnées à l'article R. 232-16 dans le cadre de la prévention et la détection des infractions terroristes et des infractions mentionnées à l'annexe II de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière. » ;
    4° Au quatrième alinéa, après les mots : « Chaque requête » sont insérés les mots : « : est motivée et ».


  • L'article R. 232-14 du même code est ainsi modifié :
    1° Le premier alinéa du I est remplacé par les dispositions suivantes :
    « I.-Les données à caractère personnel et informations transmises en application du II de l'article L. 232-7 et enregistrées dans le traitement prévu à l'article R. 232-12 sont les suivantes : » ;
    2° Le a du I est ainsi modifié :
    a) Au premier alinéa, après les mots : « données de réservation », sont insérés les mots : « des passagers aériens transmises par les transporteurs aériens et les agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef » ;
    b) Après le 11°, il est inséré un 11° bis ainsi rédigé :
    « 11° bis Toutes les informations disponibles sur les mineurs non accompagnés de moins de 18 ans, telles que le nom et le sexe, son âge, la ou les langues parlées, le nom et les coordonnées de la personne présente au départ et son lien avec le mineur, le nom et les coordonnées de la personne présente à l'arrivée et son lien avec le mineur, l'agent présent au départ et à l'arrivée ; »
    c) Le 12° est remplacé par les dispositions suivantes :
    « 12° Remarques générales, à l'exclusion des données à caractère personnel mentionnées au troisième alinéa du I de l'article L. 232-7 ; »
    d) Au 14°, après les mots : « numéro de siège », sont insérés les mots : « et autres informations concernant le siège » ;
    e) Au 18°, avant le sigle : « API », est inséré le mot : « données » ;
    f) Au 19°, le sigle : « PNR » est remplacé par les mots : « de réservation » ;
    3° Le b du I est ainsi modifié :
    a) Au premier alinéa, après les mots : « données d'enregistrement et d'embarquement », sont insérés les mots : « des passagers aériens transmises par les transporteurs aériens » ;
    b) Au 11°, les mots : « membre d'équipage, » sont supprimés ;
    4° Au b du II, après les mots : « s'est révélée positive », sont insérés les mots : «, aux seules fins d'exploitation de ces fiches par les autorités mentionnées à l'article R. 232-15 » ;
    5° Les c, d et e du II sont remplacés par un c, un d, un e et un f ainsi rédigés :
    « c) Pendant une durée maximale de 96 heures, les résultats issus de la mise en relation des données mentionnées au I avec les traitements cités au b du présent II ainsi que les résultats issus de l'analyse des données mentionnées au I au regard des critères mentionnés au II de l'article R. 232-13, aux seules fins d'informer les autorités mentionnées à l'article R. 232-15 et aux 1° et 4° de l'article R. 232-16 de l'existence d'une concordance positive obtenue à la suite de l'évaluation mentionnée au II de l'article R. 232-13 ;
    « d) Les résultats mentionnés au c révélant, à la suite d'un réexamen individuel, une concordance négative, tant que les données mentionnées au I sont conservées en application de l'article R. 232-20 et afin d'éviter de nouvelles concordances positives ;
    « e) La catégorie et le numéro des fiches contenues dans les traitements cités au b du présent II qui, après vérification, ont permis la prévention ou la constatation d'une des infractions mentionnées au I de l'article L. 232-7 ;
    « f) Les réponses aux requêtes formulées par les autorités mentionnées aux articles R. 232-15 et R. 232-16. »


  • L'article R. 232-15 du même code est ainsi modifié :
    1° Le I est ainsi modifié :
    a) Le deuxième alinéa constitue un 1° ;
    b) Le sixième alinéa du a du 1° est supprimé ;
    c) Au huitième alinéa du même a, après les mots : « brigade criminelle », sont insérés les mots : « de la direction régionale » ;
    d) Au quatrième alinéa du b, le mot : « permanences » est remplacé par les mots : « salles d'information et de commandement » ;
    e) Il est ajouté un 2° ainsi rédigé :
    « 2° Aux seules fins de la répression des actes de terrorisme, les agents du service national de la douane judiciaire, individuellement désignés et spécialement habilités par leur chef de service. » ;
    2° Le II est ainsi modifié :
    a) Après le premier alinéa, sont insérés trois alinéas ainsi rédigés :
    « 1° Les agents de la direction générale de la sécurité extérieure, individuellement désignés et spécialement habilités par leur directeur ;
    « 2° Les agents de la direction du renseignement et de la sécurité de la défense, individuellement désignés et spécialement habilités par leur directeur ;
    « 3° Les agents de la direction du renseignement militaire, individuellement désignés et spécialement habilités par leur directeur ; »
    b) Les 1°, 2° et 3° deviennent, respectivement, les 4°, 5° et 6° ;
    c) Après le 3° qui devient le 6°, il est ajouté un 7° et un 8° ainsi rédigés :
    « 7° Les agents, individuellement désignés et spécialement habilités par l'autorité hiérarchique dont ils relèvent, affectés à la sous-direction de l'anticipation opérationnelle de la direction générale de la gendarmerie nationale ;
    « 8° Les agents individuellement désignés et spécialement habilités par l'autorité hiérarchique dont ils relèvent, affectés dans les services de la direction du renseignement de la préfecture de police » ;
    3° Le III est ainsi modifié :
    a) Le premier alinéa est remplacé par les dispositions suivantes :
    « III.-Au titre de la prévention, de la constatation, du rassemblement des preuves et de la recherche des auteurs des infractions mentionnées à l'annexe II de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière : » ;
    b) Au quinzième alinéa du a du 1°, les mots : « l'article 695-23 du code de procédure pénale » sont remplacés par les mots : « l'annexe II de la directive précitée » ;
    c) Après le quinzième alinéa du a du même 1°, il est inséré un alinéa ainsi rédigé :
    «-aux seules fins de prévention, les services de la direction du renseignement de la préfecture de police ; »
    d) Au a du 2°, les deuxième et troisième alinéas sont supprimés ;
    e) Au b du même 2°, le troisième alinéa est supprimé ;
    f) Au quatrième alinéa du b du même 2°, après le mot : « centres », il est inséré le mot : « opérationnels » ;
    g) Après le 3°, est ajouté un 4° ainsi rédigé :
    « 4° Aux seules fins de prévention, les agents de la direction générale de la sécurité extérieure, individuellement désignés et spécialement habilités par leur directeur. » ;
    4° Le V est remplacé par les dispositions suivantes :
    « V.-Au titre de la prévention des atteintes aux intérêts fondamentaux de la Nation :
    « 1° Les agents de la direction générale de la sécurité extérieure, individuellement désignés et spécialement habilités par leur directeur ;
    « 2° Les agents de la direction du renseignement et de la sécurité de la défense, individuellement désignés et spécialement habilités par leur directeur ;
    « 3° Les agents de la direction du renseignement militaire individuellement désignés et spécialement habilités par leur directeur. » ;
    5° Le VII est ainsi modifié :
    a) Au premier alinéa, après le mot : « prévention », sont insérés les mots : « du terrorisme et » et les mots : « l'article 695-23 du code de la procédure pénale » sont remplacés par les mots : « l'annexe II de la directive précitée » ;
    b) Le troisième alinéa est supprimé ;
    c) Au huitième alinéa, les mots : « des Communautés européennes au sens de la convention du 26 juillet 1995 relative à la protection des intérêts financiers des Communautés européennes » sont remplacés par les mots : « de l'Union européenne » ;
    d) Le dix-septième alinéa est supprimé ;
    e) Au vingtième alinéa, après les mots : « selon les modalités prévues au VI », sont insérés les mots : « et dans le cadre de leurs attributions respectives » et les mots : « vingt jours ouvrés » sont remplacés par les mots : « vingt-huit jours » ;
    f) Après le vingtième alinéa, sont insérés un 1° et un 2° ainsi rédigés :
    « 1° Les agents de la direction générale de la sécurité intérieure, individuellement désignés et spécialement habilités par leur directeur ;
    « 2° Les agents de la direction générale de la sécurité extérieure, individuellement désignés et spécialement habilités par leur directeur ; »
    g) Le vingt et unième alinéa constitue un 3° ;
    6° Le VIII est ainsi modifié :
    a) Au quatrième alinéa, les mots : « des Communautés européennes au sens de la convention du 26 juillet 1995 relative à la protection des intérêts financiers des Communautés européennes » sont remplacés par les mots : « de l'Union européenne » ;
    b) Le dixième alinéa est supprimé ;
    c) Au douzième alinéa, la deuxième occurrence du mot : « et » est supprimée ;
    d) Le treizième alinéa est supprimé ;
    e) Au quatorzième alinéa, après les mots : « selon les modalités prévues au VI », sont insérés les mots : « et dans le cadre de leurs attributions respectives » et les mots : « vingt jours ouvrés » sont remplacés par les mots : « vingt-huit jours » ;
    f) Après le quatorzième alinéa, sont insérés un 1° et un 2° ainsi rédigés :
    « 1° Les agents de la direction générale de la sécurité intérieure, individuellement désignés et spécialement habilités par leur directeur ;
    « 2° Les agents de la direction générale de la sécurité extérieure, individuellement désignés et spécialement habilités par leur directeur ; »
    g) Le quinzième alinéa constitue un 3°.


  • Les articles R. 232-16, R. 232-17, R. 232-18 et R. 232-19 du même code deviennent respectivement les articles R. 232-20, R. 232-21, R. 232-22 et R. 232-23.


  • Après l'article R. 232-15 du même code, sont insérés quatre articles R. 232-16, R. 232-17, R. 232-18 et R. 232-19 ainsi rédigés :


    « Art. R. 232-16.-Peuvent également être destinataires des données à caractère personnel et informations enregistrées dans le traitement, au titre de la prévention et de la constatation des actes de terrorisme et des infractions mentionnées à l'annexe II de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 précitée, du rassemblement des preuves de ces actes et de la recherche de leurs auteurs, dans le cadre de leurs attributions et dans la limite du besoin d'en connaître :
    « 1° Les Unités Information Passagers des Etats membres de l'Union européenne, dans les conditions prévues au I de l'article R. 232-17 ;
    « 2° Les autorités des Etats membres de l'Union européenne compétentes en matière de prévention ou de détection des infractions mentionnées au I de l'article L. 232-7 ainsi que d'enquêtes ou de poursuites en la matière, dans les conditions prévues au II de l'article R. 232-17 ;
    « 3° L'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et les agents affectés à l'unité nationale Europol de la division des relations internationales de la direction centrale de la police judiciaire, individuellement désignés et spécialement habilités par l'autorité hiérarchique dont ils relèvent, à l'exception des infractions mentionnées aux points 23,24 et 26 de l'annexe II de la directive précitée et dans les conditions prévues à l'article R. 232-18 ;
    « 4° Les autorités compétentes d'Etats non membres de l'Union européenne, dans les conditions prévues à l'article R. 232-19.


    « Art. R. 232-17.-I.-L'Unité Information Passagers transmet, par tout moyen adapté et sécurisé, des données à caractère personnel et informations enregistrées dans le “ système API-PNR France ” ou, après consultation des autorités mentionnées à l'article R. 232-15, le résultat du traitement de ces données aux Unités Information Passagers des autres Etats membres de l'Union européenne dans les conditions suivantes et aux seules fins prévues au I de l'article L. 232-7, à l'exception des atteintes aux intérêts fondamentaux de la Nation :
    « 1° Lorsqu'une personne a été identifiée à la suite de l'évaluation mentionnée au II de l'article R. 232-13, l'Unité Information Passagers transmet les données et informations pertinentes et nécessaires ou le résultat du traitement de ces données aux Unités Information Passagers des autres Etats membres de l'Union européenne concernées. Lorsque l'Unité Information Passagers est destinataire de tels éléments de la part des autres Unités Information Passagers, elle les transmet aux autorités mentionnées à l'article R. 232-15 ;
    « 2° Lorsque l'Unité Information Passagers est saisie par l'Unité Information Passagers d'un autre Etat membre de l'Union européenne d'une demande motivée de transmission de données à caractère personnel et informations enregistrées dans le “ système API-PNR France ” et non encore dépersonnalisées au titre du II de l'article R. 232-20 ainsi que, si nécessaire, le résultat du traitement de ces données si celui-ci a été réalisé en vertu du II de l'article R. 232-13. Si les données requises ont été dépersonnalisées au titre du II de l'article R. 232-20, l'Unité Information Passagers ne transmet l'intégralité de ces données que lorsqu'il existe des motifs raisonnables de croire que cela est nécessaire à l'une des fins mentionnées au I du présent article et dans les conditions fixées au III de l'article R. 232-20. L'Unité Information Passagers transmet ces données et informations dès que possible ;
    « 3° Lorsque l'Unité Information Passagers d'un Etat membre de l'Union européenne demande à l'Unité Information Passagers qu'elle obtienne, tout ou partie des données et informations relatives aux passagers auprès des transporteurs aériens et les lui communique, sous réserve que les conditions prévues au II de l'article R. 232-1-1 soient remplies.
    « L'Unité Information Passagers nationale peut adresser des demandes aux Unités Information Passagers des autres Etats membres de l'Union européenne dans les conditions prévues aux 2° et 3°.
    « II.-L'Unité Information Passagers peut être saisie directement par les seules autorités compétentes d'un autre Etat membre de l'Union européenne, dont la liste est publiée au Journal officiel de l'Union européenne, par tout moyen adapté et sécurisé, d'une demande motivée de transmission de données à caractère personnel et informations enregistrées dans le “ système API-PNR France ”, uniquement lorsque cela est nécessaire au regard de l'urgence de la situation et dans les conditions fixées au 2° du I.
    « Dans les mêmes conditions, celles des autorités mentionnées à l'article R. 232-15 qui figurent sur la liste publiée au Journal officiel de l'Union européenne peuvent adresser des demandes aux Unités Information Passagers des autres Etats membres de l'Union européenne. Une copie de la demande est adressée à l'Unité Information Passagers.


    « Art. R. 232-18.-L'Unité Information Passagers peut transmettre à Europol, à sa demande et au cas par cas, des données à caractère personnel et informations enregistrées dans le “ système API-PNR France ” ou, après consultation des autorités mentionnées à l'article R. 232-15, le résultat du traitement de ces données en vue de prévenir ou de détecter une infraction mentionnée au I de l'article L. 232-7, à l'exception des atteintes aux intérêts fondamentaux de la Nation et des infractions mentionnées aux points 23,24 et 26 de l'annexe II de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 précitée et dans les conditions prévues par le règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol).
    « La demande d'Europol est motivée et effectuée par voie électronique par l'intermédiaire de l'unité nationale Europol de la division des relations internationales de la direction centrale de la police judiciaire.


    « Art. R. 232-19.-I.-Les données à caractère personnel et les informations enregistrées dans le “ système API-PNR France ”, ainsi que le résultat du traitement de ces données, peuvent être transférées, au cas par cas et par tout moyen adapté et sécurisé, par l'Unité Information Passagers ou par les autorités mentionnées à l'article R. 232-15 à des Etats non membres de l'Union européenne, dans les conditions fixées aux articles 70-25 à 70-27 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, pour les seules finalités prévues au I de l'article L. 232-7, à l'exception des atteintes aux intérêts fondamentaux de la Nation, et sous réserve que les conditions prévues au 2° du I de l'article R. 232-17 soient remplies et, pour les transferts de données dont l'autorisation préalable ne peut pas être obtenue en temps utile, que ces transferts soient nécessaires pour répondre à une menace précise et réelle liée à une infraction terroriste ou à une forme grave de criminalité dans un Etat membre de l'Union européenne ou un Etat non membre de l'Union européenne.
    « II.-Le délégué à la protection des données de l'Unité Information Passagers est informé de tous les transferts effectués en application du I. »


  • L'article R. 232-16 du même code qui devient l'article R. 232-20 est ainsi modifié :
    1° Au début du premier alinéa, il est ajouté la mention : « I.-» et les mots : « réception dans le système » sont remplacés par les mots : « transfert à l'Unité Information Passagers » ;
    2° Le premier alinéa du II est remplacé par les dispositions suivantes :
    « II.-A l'expiration d'un délai de six mois à compter de leur transfert à l'Unité Information Passagers, les données susceptibles de révéler directement l'identité des passagers aériens sont conservées mais ne peuvent plus être communiquées aux agents appartenant aux autorités mentionnées à l'article R. 232-15. » ;
    3° Le cinquième alinéa du même II est complété par les mots : « directement, y compris l'adresse de facturation » ;
    4° Après le sixième alinéa du même II, est inséré un alinéa ainsi rédigé :
    «-les remarques générales qui permettent d'identifier directement le passager ; »
    5° Le dernier alinéa du même II est complété par le mot : « directement » ;
    6° Le III et le IV sont remplacés par les dispositions suivantes :
    « III.-Ce n'est que sur demande motivée, lorsqu'il existe des motifs raisonnables de croire que leur communication est nécessaire à l'atteinte de l'une des finalités définies au I de l'article L. 232-7, et après autorisation expresse du directeur de l'Unité Information Passagers ou en cas d'absence, de son adjoint ou de la personne désignée à cet effet, que les agents appartenant aux autorités susmentionnées pourront être destinataires des données mentionnées au II du présent article. Le délégué à la protection des données de l'Unité Information Passagers est tenu informé de toute communication effectuée en application du présent paragraphe, à l'exclusion de celle relative aux atteintes aux intérêts fondamentaux de la Nation, et veille à leur légalité au regard des conditions susmentionnées.
    « IV.-Si les données de réservation transférées par les transporteurs aériens et par les agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef comportent des données à caractère personnel autres que celles énumérées à l'article R. 232-14, notamment des données à caractère personnel mentionnées au troisième alinéa de l'article L. 232-7, l'Unité d'Information Passagers les efface sans délai et de façon définitive dès leur réception. »


  • Les articles R. 232-17 et R. 232-18 du même code qui deviennent les articles R. 232-21 et R. 232-22 sont remplacés par les dispositions suivantes :


    « Art. R. 232-21.-Toutes opérations, notamment la collecte, la consultation, la communication et l'effacement des données à caractère personnel et des informations mentionnées à l'article R. 232-14, effectuées sur le traitement font l'objet d'enregistrements comprenant :


    «-les demandes formulées par les autorités compétentes et les Unités Information Passagers des autres Etats membres de l'Union européenne ;
    «-les demandes et les transferts vers des Etats non membres de l'Union européenne ;
    «-la finalité de la demande, de la communication et de la consultation ;
    «-la date et l'heure de ces opérations ;
    «-l'identifiant de l'agent à l'origine de la demande ;
    «-l'identifiant de l'agent ayant validé la demande ;
    «-l'identifiant de celui ayant validé les résultats et les ayant transmis.


    « Sont également enregistrés dans un registre les noms et coordonnées des agents de l'Unité Information Passagers chargés du traitement des données et informations mentionnées à l'article R. 232-14 ainsi que leur niveau d'autorisation d'accès.
    « Ces informations sont utilisées uniquement à des fins de vérification, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données ou d'audit.
    « Ces informations sont mises à la disposition de la Commission nationale de l'informatique et des libertés, à sa demande.
    « Ces informations sont conservées pendant cinq ans.


    « Art. R. 232-22.-I.-Conformément aux articles 70-19 et 70-20 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, les droits d'accès, de rectification et d'effacement des données mentionnées à l'article R. 232-14 s'exercent directement auprès du directeur de l'Unité Information Passagers ou de son adjoint.
    « En application du I de l'article 70-21 de la même loi, le directeur de l'Unité Information Passager peut, aux fins de protéger la sécurité publique ou la sécurité nationale ou d'éviter de nuire à la prévention et la constatation des infractions mentionnées au I de l'article L. 232-7, du rassemblement des preuves de ces atteintes et de la recherche de leurs auteurs, refuser le droit d'accès et ne pas informer la personne concernée du refus de rectifier, d'effacer ou de limiter les données à caractère personnel relatives à la mention “ connu ” ou “ inconnu ” au fichier des personnes recherchées, dans le système d'information Schengen de deuxième génération, le fichier des objets et des véhicules signalés, le système informatisé concourant au dispositif de lutte contre les fraudes et le fichier des documents de voyage volés et perdus d'Interpol et aux résultats des requêtes formulées par les autorités énumérées aux articles R. 232-15 et R. 232-16. La personne concernée par ces restrictions exerce ses droits auprès de la Commission nationale de l'informatique et des libertés en application de l'article 70-22 de la même loi.
    « II.-Le droit d'opposition prévu à l'article 38 de la même loi ne s'applique pas au présent traitement.
    « III.-Lorsqu'une violation de données à caractère personnel est susceptible d'entraîner un risque élevé pour la protection des données à caractère personnel ou d'affecter négativement la vie privée de la personne concernée, l'Unité Information Passagers notifie cette violation à la personne concernée et à la Commission nationale de l'informatique et des libertés dans les conditions et sous réserve des restrictions prévues à l'article 70-16 de la loi du 6 janvier 1978 précitée. »


  • Au 1° de l'article R. 231-8 du même code, la référence : « 695-23 » est remplacée par la référence : « 694-32 ».


  • Les articles R. 285-1, R. 286-1, R. 287-1 et R. 288-1 du même code sont ainsi modifiés :
    1° La ligne :


    «


    R. 232-1 à R. 232-5-1

    Résultant du décret n° 2014-1095 du 26 septembre 2014 portant création d'un traitement de données à caractère personnel dénommé « système API-PNR France » pris pour l'application de l'article L. 232-7 du code de la sécurité intérieure


    »


    est remplacée par les quatre lignes suivantes :


    «


    R. 232-1

    Résultant du décret n° 2014-1095 du 26 septembre 2014

    R. 232-1-1

    Résultant du décret n° 2018-714 du 3 août 2018

    R. 232-2 à R. 232-5

    Résultant du décret n° 2014-1095 du 26 septembre 2014

    R. 232-5-1

    Résultant du décret n° 2018-714 du 3 août 2018


    » ;


    2° Les lignes :


    «


    R. 232-12 et R. 232-13

    Résultant du décret n° 2014-1095 du 26 septembre 2014 portant création d'un traitement de données à caractère personnel dénommé système API-PNR France pris pour l'application de l'article L. 232-7 du code de la sécurité intérieure

    R. 232-14 et R. 232-15

    Résultant du décret n° 2015-1328 du 21 octobre 2015 portant modification de l'article 5 du décret n° 2010-569 du 28 mai 2010 relatif au fichier des personnes recherchées et des articles R. 232-14 et R. 232-15 du code de la sécurité intérieure

    R. 232-16 à R. 232-18

    Résultant du décret n° 2014-1095 du 26 septembre 2014 portant création d'un traitement de données à caractère personnel dénommé système API-PNR France pris pour l'application de l'article L. 232-7 du code de la sécurité intérieure

    R. 232-19

    Résultant du décret n° 2015-26 du 14 janvier 2015 relatif à l'interdiction de sortie du territoire des ressortissants français projetant de participer à des activités terroristes à l'étranger


    »


    sont remplacées par la ligne suivante :


    «


    R. 232-12 à R. 232-23

    Résultant du décret n° 2018-714 du 3 août 2018


    ».


  • Le ministre d'Etat, ministre de l'intérieur, le ministre d'Etat, ministre de la transition écologique et solidaire, la ministre des armées, le ministre de l'action et des comptes publics, la ministre des outre-mer et la ministre auprès du ministre d'Etat, ministre de la transition écologique et solidaire, chargée des transports, sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 3 août 2018.


Edouard Philippe
Par le Premier ministre :


Le ministre d'Etat, ministre de l'intérieur,
Gérard Collomb


Le ministre d'Etat, ministre de la transition écologique et solidaire,
Nicolas Hulot


La ministre des armées,
Florence Parly


Le ministre de l'action et des comptes publics,
Gérald Darmanin


La ministre des outre-mer,
Annick Girardin


La ministre auprès du ministre d'Etat, ministre de la transition écologique et solidaire, chargée des transports,
Elisabeth Borne

Extrait du Journal officiel électronique authentifié PDF - 293,1 Ko
Retourner en haut de la page