18 JUILLET 2017. - Arrêté royal relatif à l'exécution de la loi du 25 décembre 2016 relative au traitement des données des passagers, reprenant les obligations pour les compagnies aériennes

Chapitre 1er.- Disposition générale

Article 1er. Le présent arrêté transpose partiellement la Directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers, et la Directive 2016/681 de 27 avril 2016 du Parlement européen et du Conseil relative à l'utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.

Chapitre 2.- Définitions

Art. 2.Pour l'application du présent arrêté, il faut entendre par :

1°"la loi": la loi du 25 décembre 2016 relative au traitement des données des passagers;

2°"compagnies aériennes": entreprises de transport aérien possédant une licence d'exploitation en cours de validité ou l'équivalent lui permettant d'assurer le transport par voie aérienne de passagers visé à l'article 4, 3° de la loi;

3°"documents d'identité": documents, établis par une autorité officielle, sur base desquels l'identité des passagers peut être définie, à savoir les cartes d'identité nationales, les passeports internationalement reconnus ou les documents remplaçants légaux;

4°"documents de voyage": documents qui octroient au passager un titre pour le transport visé à l'article 4, 3° de la loi;

5°"banque de données des passagers" : banque de données visée à l'article 15, § 1er de la loi;

6°"méthode push" : la méthode par laquelle les transporteurs aériens transfèrent les données PNR vers la banque de données des passagers;

7°"formats des données": formats définis par la Commission européenne via lesquels les données des passagers sont transmises par les compagnies aériennes vers la banque de données des passagers afin que les données soient lisibles pour toutes les parties concernées;

8°"protocoles communs": protocoles définis par la Commission européenne visant à garantir la protection des données des passagers lors de la transmission des compagnies aériennes vers la banque de données des passagers;

9°"décision d'exécution": décision d'exécution (UE) 2017/759 de la Commission du 28 avril 2017 sur les protocoles communs et formats de données devant être utilisés par les transporteurs aériens lors d'un transfert de données PNR aux unités d'information passagers;

Chapitre 3.- Obligations des compagnies aeriennes

Art. 3.§ 1er. Les compagnies aériennes collectent les données des passagers visées à l'article 29, § 2 de la loi en vue de leur transmission conformément au paragraphe 2.

§ 2 Les compagnies aériennes transfèrent vers la banque de données des passagers par la méthode push toutes les données des passagers, énumérées dans l'article 9, § 1er de la loi, dont elles disposent, aux moments suivants :

1°48 heures avant l'heure de départ programmée du vol; et

2°immédiatement après la clôture du vol, c'est-à-dire dès que les passagers ont embarqué à bord de l'aéronef prêt à partir et qu'ils ne peuvent plus embarquer ou débarquer.

§ 3 Lorsque l'accès à des données des passagers est nécessaire pour répondre à une menace précise et réelle liée à des infractions terroristes ou à des formes graves de criminalité, les compagnies aériennes transfèrent, au cas par cas, des données des passagers à d'autres moments que ceux mentionnés au paragraphe 2, à la demande de l'U.I.P.

Art. 4.Dans la cadre du transfert des données des passagers visé à l'article 3, § 2, les compagnies aériennes contrôlent, en exécution de l'article 7, § 1er de la loi, au moment où les passagers montent à bord de l'avion, si l'identité de chaque passager, comme indiquée sur son document d'identité, et ses données personnelles, comme indiquées sur son document de voyage, correspondent.

Art. 5.Si les compagnies aériennes constatent que les données des passagers visées à l'article 9, § 1er, 18° de la loi dont elles disposent ne sont pas actuelles, pas exactes ou pas complètes, elles prennent les mesures nécessaires afin de corriger ces données au plus tard au moment du transfert visé à l'article 3, § 2, 2°.

Chapitre 4.- Modalités de transmission des donnees des passagers

Art. 6.§ 1er. Si les données des passagers envoyées lors du transfert visé à l'article 3, § 2, 2° sont identiques aux données des passagers envoyées lors du transfert visé à l'article 3, § 2, 1°, la compagnie aérienne peut soit transférer à nouveau toutes les données des passagers, soit se limiter à l'envoi d'un message qui confirme le caractère identique des données des passagers.

§ 2. Si les données des passagers envoyées lors du transfert visé à l'article 3, § 2, 2° ne sont pas identiques aux données des passagers envoyées lors du transfert visé à l'article 3, § 2, 1°, la compagnie aérienne peut soit transférer à nouveau toutes les données des passagers, soit limiter le transfert visé à l'article 3, § 2, 2° aux mises à jour du transfert visé à l'article 3, § 2, 1°.

Art. 7.§ 1. Les compagnies aériennes envoient les données des passagers à l' U.I.P. par voie électronique en utilisant l'un des formats de données et les protocoles communs définis par la Commission européenne dans la Décision d'exécution.

§ 2 Les compagnies aériennes informent l'U.I.P. du protocole de transmission et du format de données qu'elles souhaitent utiliser lors de la transmission des données des passagers vers la banque de données des passagers.

§ 3. Les compagnies aériennes qui exploitent des vols sans un horaire public précis et qui ne disposent pas de l'infrastructure nécessaire pour prendre en charge les formats de données et les protocoles communs visés au paragraphe 1 transfèrent les données des passagers par des moyens électroniques qui offrent des garanties suffisantes concernant les mesures de sécurité techniques et qui sont convenus de manière bilatérale.

Art. 8.§ 1er. Les compagnies aériennes assurent l'organisation technique de la transmission des données des passagers visée à l'article 7 de la loi et ce, jusqu'au point d'accès de la banque de données des passagers. Elles garantissent la transmission de ces données conformément aux conditions de sécurité décrites dans le document `Directives techniques', visé au paragraphe 2.

§ 2 L'U.I.P. émet le document `Directives techniques', après avis du délégué à la protection des données, dans lequel les modalités techniques relatives à la transmission des données des passagers sont décrites. Ce document est communiqué aux compagnies aériennes afin de pouvoir entamer la transmission de données des passagers.

Art. 9.En cas de perturbation technique, les compagnies aériennes utilisent d'autres moyens appropriés qui garantissent un niveau approprié de protection des données pour envoyer les données des passagers, après une concertation avec l'U.I.P. à ce sujet.

Chapitre 5.- Diverses dispositions

Art. 10.L'arrêté royal du 11 décembre 2006 concernant l'obligation pour les transporteurs aériens de communiquer les données relatives aux passagers est abrogé.

Art. 11.L'article 53 de la loi entre en vigueur le même jour que le présent arrêté royal.

Art. 12.En ce qui concerne les compagnies aériennes, la loi entre en vigueur le même jour que le présent arrêté royal.

Art. 13.Le ministre compétent pour la Sécurité et l'Intérieur et le Ministre de la Mobilité sont, chacun en ce qui le concerne, chargé de l'exécution de cet arrêté.