Règlement (UE) 2025/12 du Parlement européen et du Conseil du 19 décembre 2024 relatif à la collecte et au transfert des informations préalables sur les passagers en vue de renforcer et de faciliter les vérifications aux frontières extérieures, modifiant les règlements (UE) 2018/1726 et (UE) 2019/817, et abrogeant la directive 2004/82/CE du Conseil

1. Les transporteurs aériens recueillent les données API de chaque passager sur les vols à destination de l’Union qui doivent être transférées au routeur conformément à l’article 6. Lorsqu’il s’agit d’un vol en partage de code entre transporteurs aériens, l’obligation de transférer les données API incombe au transporteur aérien qui assure le vol.

2. Les données API se composent uniquement des données suivantes concernant chaque passager du vol:

3. Les données API se composent également uniquement des informations de vol suivantes concernant le vol de chaque passager:

1. Les transporteurs aériens recueillent les données API en vertu de l’article 4 de manière à garantir que les données API qu’ils transfèrent conformément à l’article 6 sont exactes, complètes et à jour.

2. Les transporteurs aériens recueillent les données API visées à l’article 4, paragraphe 2, points a) à d), à l’aide de moyens automatisés permettant la collecte des données lisibles par machine du document de voyage du passager concerné. Ils recueillent ces données dans le respect des exigences techniques et des règles opérationnelles détaillées visées au paragraphe 7 du présent article, dès que de telles règles ont été adoptées et sont applicables.

Lorsque les transporteurs aériens proposent une procédure d’enregistrement en ligne, ils permettent aux passagers de fournir les données API visées à l’article 4, paragraphe 2, points a) à d), par des moyens automatisés lors de cette procédure d’enregistrement en ligne. Pour les passagers qui ne s’enregistrent pas en ligne, les transporteurs aériens permettent à ces passagers de fournir ces données API par des moyens automatisés lors de l’enregistrement à l’aéroport en se rendant à une borne en libre-service ou avec l’aide du personnel des transporteurs aériens au comptoir.

Lorsque l’utilisation de moyens automatisés n’est pas techniquement possible, les transporteurs aériens recueillent les données API visées à l’article 4, paragraphe 2, points a) à d), manuellement, à titre exceptionnel, soit dans le cadre de l’enregistrement en ligne, soit dans le cadre de l’enregistrement à l’aéroport, de manière à garantir le respect du paragraphe 1 du présent article.

3. Tout moyen automatisé utilisé par les transporteurs aériens pour recueillir des données API au titre du présent règlement doit être fiable, sécurisé et à jour. Les transporteurs aériens veillent à ce que les données API soient chiffrées lors du transfert de ces données du passager au transporteur aérien.

4. Pendant une période transitoire, et en plus des moyens automatisés visés au paragraphe 3, les transporteurs aériens donnent aux passagers la possibilité de fournir manuellement les données API dans le cadre de l’enregistrement en ligne. Dans de tels cas, les transporteurs aériens ont recours à des techniques de vérification des données de manière à garantir le respect du paragraphe 1.

5. La période transitoire visée au paragraphe 4 ne porte pas atteinte au droit des transporteurs aériens de vérifier les données API recueillies dans le cadre de l’enregistrement en ligne à l’aéroport avant l’embarquement, de manière à garantir le respect du paragraphe 1, conformément au droit de l’Union applicable.

6. Quatre ans après la mise en service du routeur visé à l’article 34, et sur la base d’une évaluation de la disponibilité et de l’accessibilité de moyens automatisés pour recueillir les données API, la Commission est habilitée à adopter un acte délégué conformément à l’article 44 afin de mettre un terme à la période transitoire visée au paragraphe 4 du présent article.

7. La Commission est habilitée à adopter des actes délégués conformément à l’article 44 afin de compléter le présent règlement en fixant des exigences techniques et des règles opérationnelles détaillées pour la collecte des données API visées à l’article 4, paragraphe 2, points a) à d), à l’aide de moyens automatisés conformément aux paragraphes 2 et 3 du présent article, ainsi que pour la collecte manuelle des données API dans des circonstances exceptionnelles conformément au paragraphe 2 du présent article et pendant la période transitoire visée au paragraphe 4 du présent article. Ces exigences techniques et ces règles opérationnelles comprennent des exigences en matière de sécurité des données et en matière d’utilisation des moyens automatisés les plus fiables disponibles pour recueillir les données lisibles par machine d’un document de voyage.

8. Les transporteurs aériens qui utilisent des moyens automatisés pour recueillir les renseignements visés à l’article 3, paragraphes 1 et 2, de la directive 2004/82/CE sont autorisés à le faire en appliquant les exigences techniques relatives à cette utilisation visées au paragraphe 7 du présent article, conformément à ladite directive.

1. Les transporteurs aériens transfèrent les données API chiffrées au routeur par voie électronique aux fins de leur transmission aux autorités frontalières compétentes conformément à l’article 14. Les transporteurs aériens transfèrent les données API conformément aux règles détaillées visées au paragraphe 3 du présent article, dès que de telles règles ont été adoptées et sont applicables.

2. Les transporteurs aériens transfèrent les données API:

3. La Commission est habilitée à adopter des actes délégués conformément à l’article 44 afin de compléter le présent règlement en fixant les règles détaillées nécessaires concernant les protocoles communs et les formats de données reconnus à appliquer aux transferts chiffrés de données API au routeur visés au paragraphe 1 du présent article, y compris le transfert de données API au moment de l’enregistrement et les exigences en matière de sécurité des données. Ces règles détaillées prévoient que les transporteurs aériens transfèrent les données API en utilisant la même structure et le même contenu.

1. Les transporteurs aériens conservent, pendant un délai de 48 heures à compter du moment de la réception par le routeur des données API qui lui ont été transférées conformément à l’article 6, paragraphe 2, points a) et b), les données API qu’ils ont recueillies en vertu de l’article 4. Ils suppriment immédiatement et de manière définitive ces données API après l’expiration de ce délai, sans préjudice de la possibilité pour les transporteurs aériens de conserver et d’utiliser ces données lorsque cela est nécessaire dans le cours normal de leurs activités, dans le respect du droit applicable, et sans préjudice de l’article 16, paragraphes 1 et 3.

2. Les autorités frontalières compétentes conservent, pendant un délai de 48 heures à compter du moment de leur réception, les données API qui leur ont été transmises conformément à l’article 14, à la suite du transfert effectué conformément à l’article 6, paragraphe 2, points a) et b). Elles suppriment immédiatement et de manière définitive ces données API après l’expiration de ce délai.

Dans des cas exceptionnels, les autorités frontalières compétentes peuvent conserver les données API pendant un délai supplémentaire maximal de 48 heures uniquement dans la mesure où ces données API concernent des passagers qui ne se sont pas présentés à un point de passage frontalier au cours du délai visé au premier alinéa.

1. Lorsque les transporteurs aériens constatent que les données qu’ils conservent au titre du présent règlement ont fait l’objet d’un traitement illicite, ou qu’elles ne constituent pas des données API, ils les suppriment immédiatement et de manière définitive. Si ces données ont été transférées au routeur, les transporteurs aériens informent immédiatement l’Agence de l’Union européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA). Dès réception de ces informations, l’eu-LISA informe immédiatement l’autorité frontalière compétente qui a reçu les données transmises par l’intermédiaire du routeur. Cette autorité frontalière compétente supprime ces données immédiatement et de manière définitive.

2. Lorsque les transporteurs aériens constatent que les données qu’ils conservent au titre du présent règlement sont inexactes, incomplètes ou ne sont plus à jour, ils les rectifient, les complètent ou les mettent à jour immédiatement. Cela est sans préjudice de la possibilité pour les transporteurs aériens de conserver et d’utiliser ces données lorsque cela est nécessaire dans le cours normal de leurs activités, dans le respect du droit applicable.

3. Lorsque, après le transfert des données API conformément à l’article 6, paragraphe 2, point a), mais avant le transfert conformément à l’article 6, paragraphe 2, point b), les transporteurs aériens constatent que les données qu’ils ont transférées sont inexactes, ils transfèrent immédiatement les données API rectifiées au routeur.

4. Lorsque, après le transfert des données API conformément à l’article 6, paragraphe 2, point a) ou b), les transporteurs aériens constatent que les données qu’ils ont transférées sont inexactes, incomplètes ou ne sont plus à jour, ils transfèrent immédiatement les données API rectifiées, complétées ou mises à jour au routeur.

5. Lorsque, après la transmission des données API conformément à l’article 14, les autorités frontalières compétentes constatent que les données sont inexactes, incomplètes ou ne sont plus à jour, elles les suppriment immédiatement, sauf si ces données sont nécessaires pour garantir le respect des obligations énoncées dans le présent règlement.

6. La Commission est habilitée à adopter des actes délégués conformément à l’article 44 afin de compléter le présent règlement en fixant les règles détaillées qui sont nécessaires pour rectifier, compléter et mettre à jour les données API au sens du présent article.

1. La collecte et le traitement de données à caractère personnel effectués conformément au présent règlement et au règlement (UE) 2025/13 par les transporteurs aériens et par les autorités compétentes ne peuvent entraîner aucune discrimination à l’encontre de personnes fondée sur les motifs énumérés à l’article 21 de la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte»).

2. Le présent règlement respecte pleinement la dignité humaine ainsi que les droits fondamentaux et les principes consacrés dans la Charte, dont le droit au respect de la vie privée, à l’asile, à la protection des données à caractère personnel, à la liberté de circulation et à un recours juridictionnel effectif.

3. Une attention particulière est accordée aux enfants, aux personnes âgées, aux personnes handicapées et aux personnes vulnérables. L’intérêt supérieur de l’enfant est une considération primordiale lors de la mise en œuvre du présent règlement.

1. L’eu-LISA conçoit, développe, héberge et gère sur le plan technique, conformément aux articles 25 et 26, un routeur aux fins de faciliter le transfert des données API chiffrées par les transporteurs aériens aux autorités frontalières compétentes conformément au présent règlement.

2. Le routeur se compose des éléments suivants:

3. Sans préjudice de l’article 12 du présent règlement, le routeur partage et réutilise, s’il y a lieu et dans la mesure où cela est techniquement possible, les composants techniques, y compris les composants matériels et logiciels, du service internet visé à l’article 13 du règlement (UE) 2017/2226, du portail pour les transporteurs visé à l’article 6, paragraphe 2, point k), du règlement (UE) 2018/1240, et du portail pour les transporteurs visé à l’article 45 quater du règlement (CE) no 767/2008.

L’eu-LISA conçoit le routeur, dans la mesure où cela est possible sur les plans technique et opérationnel, d’une manière qui soit cohérente et compatible avec les obligations à charge des transporteurs aériens énoncées dans les règlements (CE) no 767/2008, (UE) 2017/2226 et (UE) 2018/1240.

4. Le routeur extrait automatiquement les données et les met automatiquement à la disposition du répertoire central des rapports et statistiques (CRRS), créé par l’article 39 du règlement (UE) 2019/817, conformément à l’article 38 du présent règlement.

5. L’eu-LISA conçoit et développe le routeur de manière que, pour tout transfert de données API des transporteurs aériens au routeur, conformément à l’article 6, et pour toute transmission de données API du routeur aux autorités frontalières compétentes, conformément à l’article 14, et au CRRS, conformément à l’article 38, paragraphe 2, les données API soient chiffrées de bout en bout lors du transit.

1. Le routeur vérifie, de manière automatisée et sur la base des données du trafic aérien en temps réel, si le transporteur aérien a transféré les données API conformément à l’article 6, paragraphe 1.

2. Le routeur vérifie, immédiatement et de manière automatisée, si les données API qui lui ont été transférées conformément à l’article 6, paragraphe 1, sont conformes aux règles détaillées concernant les formats de données reconnus, visées à l’article 6, paragraphe 3.

3. Lorsque la vérification visée au paragraphe 1 du présent article établit que les données n’ont pas été transférées par le transporteur aérien ou lorsque la vérification visée au paragraphe 2 du présent article établit que les données ne sont pas conformes aux règles détaillées concernant les formats de données reconnus, le routeur en informe immédiatement et de manière automatisée le transporteur aérien concerné et les autorités frontalières compétentes des États membres auxquelles les données devaient être transmises en vertu de l’article 14, paragraphe 1. Dans de tels cas, le transporteur aérien transfère immédiatement les données API conformément à l’article 6.

4. La Commission adopte des actes d’exécution précisant les règles techniques et procédurales détaillées qui sont nécessaires pour les vérifications et les notifications visées aux paragraphes 1, 2 et 3 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 43, paragraphe 2.

1. Une fois que les vérifications du format des données et du transfert des données visées à l’article 13 ont été effectuées, le routeur transmet les données API chiffrées qui lui ont été transférées conformément à l’article 6 ou à l’article 9, paragraphes 3 et 4, aux autorités frontalières compétentes de l’État membre ou, lorsqu’il est prévu que le vol atterrisse dans un ou plusieurs aéroports sur le territoire d’un ou de plusieurs États membres auxquels s’applique le présent règlement, aux autorités frontalières compétentes des États membres visés à l’article 4, paragraphe 3, point c). Il transmet ces données immédiatement et de manière automatisée, sans en modifier le contenu de quelque manière que ce soit, et conformément aux règles détaillées visées au paragraphe 5 du présent article, dès que de telles règles ont été adoptées et sont applicables.

Aux fins de cette transmission, l’eu-LISA établit et tient à jour un tableau de correspondance entre les différents aéroports d’origine et de destination et les pays auxquels ils appartiennent.

2. Les États membres désignent les autorités frontalières compétentes autorisées à recevoir les données API qui leur sont transmises par le routeur conformément au présent règlement. Ils notifient, au plus tard à la date d’application du présent règlement visée à l’article 46, deuxième alinéa, à l’eu-LISA et à la Commission le nom et les coordonnées des autorités frontalières compétentes et, si nécessaire, ils notifient à l’eu-LISA et à la Commission toute mise à jour de ces informations.

Sur la base de ces notifications et mises à jour, la Commission établit et met à la disposition du public une liste des autorités frontalières compétentes dont le nom lui a été notifié, y compris leurs coordonnées.

3. Les États membres veillent à ce que, lorsqu’elles reçoivent des données API conformément au paragraphe 1, leurs autorités frontalières compétentes confirment au routeur, immédiatement et de manière automatisée, la réception de ces données.

4. Les États membres veillent à ce que seul le personnel dûment autorisé et formé de leurs autorités frontalières compétentes, désignées conformément au paragraphe 2, ait accès aux données API qui leur sont transmises par l’intermédiaire du routeur. Ils établissent les règles nécessaires à cet effet. Ces règles comprennent des règles relatives à la création et à la mise à jour régulière d’une liste des membres du personnel concernés et de leurs profils.

5. La Commission adopte des actes d’exécution précisant les règles techniques et procédurales détaillées qui sont nécessaires pour la transmission de données API par le routeur visée au paragraphe 1 du présent article, y compris sur les exigences en matière de sécurité des données. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 43, paragraphe 2.

1. Lorsqu’il est techniquement impossible d’utiliser le routeur pour transmettre des données API en raison d’une défaillance de celui-ci, l’eu-LISA notifie, immédiatement et de manière automatisée, cette impossibilité technique aux transporteurs aériens et aux autorités frontalières compétentes. Dans ce cas, l’eu-LISA prend immédiatement des mesures pour remédier à l’impossibilité technique d’utiliser le routeur et adresse immédiatement une notification aux transporteurs aériens et aux autorités frontalières compétentes lorsqu’il y a été remédié.

Durant la période comprise entre ces notifications, l’article 6, paragraphe 1, et l’article 8, paragraphe 1, ne s’appliquent pas, dans la mesure où l’impossibilité technique empêche le transfert de données API au routeur. Les transporteurs aériens conservent les données API jusqu’à ce qu’il ait été remédié à l’impossibilité technique. Dès qu’il a été remédié à l’impossibilité technique, les transporteurs aériens transfèrent les données au routeur conformément à l’article 6, paragraphe 1.

Lorsque les données API sont reçues dans un délai supérieur à 96 heures après l’heure de départ visée à l’article 4, paragraphe 3, point f), le routeur ne transmet pas les données API aux autorités frontalières compétentes mais, au lieu de cela, les supprime.

Lorsqu’il est techniquement impossible d’utiliser le routeur et dans des cas exceptionnels liés aux objectifs du présent règlement dans lesquels il est nécessaire pour les autorités frontalières compétentes de recevoir immédiatement les données API au cours de la période pendant laquelle il est techniquement impossible d’utiliser le routeur, les autorités frontalières compétentes peuvent demander aux transporteurs aériens d’utiliser tout autre moyen approprié, garantissant le niveau nécessaire de sécurité, de qualité et de protection des données, pour leur transférer directement les données API. Les autorités frontalières compétentes traitent les données API qu’elles ont reçues par l’intermédiaire de tout autre moyen approprié conformément aux règles et aux garanties énoncées dans le règlement (UE) 2016/399 et dans le droit national applicable.

À la suite de la notification de l’eu-LISA indiquant qu’il a été remédié à l’impossibilité technique, et lorsqu’il est confirmé, conformément à l’article 14, paragraphe 3, que la transmission des données API par l’intermédiaire du routeur à l’autorité frontalière compétente concernée est achevée, cette dernière supprime immédiatement les données API qu’elle a reçues par l’intermédiaire de tout autre moyen approprié.

2. Lorsqu’il est techniquement impossible d’utiliser le routeur pour transmettre des données API en raison d’une défaillance des systèmes ou de l’infrastructure d’un État membre, visés à l’article 23, les autorités frontalières compétentes dudit État membre notifient, immédiatement et de manière automatisée, cette impossibilité technique aux transporteurs aériens, aux autorités compétentes des autres États membres, à l’eu-LISA et à la Commission. Dans ce cas, ledit État membre prend immédiatement des mesures pour remédier à l’impossibilité technique d’utiliser le routeur et adresse immédiatement une notification aux transporteurs aériens, aux autorités compétentes des autres États membres, à l’eu-LISA et à la Commission lorsqu’il y a été remédié. Le routeur conserve les données API jusqu’à ce qu’il ait été remédié à l’impossibilité technique. Dès qu’il a été remédié à l’impossibilité technique, le routeur transmet les données conformément à l’article 14, paragraphe 1.

Durant la période comprise entre ces notifications, l’article 6, paragraphe 1, et l’article 8, paragraphe 1, ne s’appliquent pas, dans la mesure où l’impossibilité technique empêche le transfert de données API au routeur. Les transporteurs aériens conservent les données API jusqu’à ce qu’il ait été remédié à l’impossibilité technique. Dès qu’il a été remédié à l’impossibilité technique, les transporteurs aériens transfèrent les données au routeur conformément à l’article 6, paragraphe 1.

Lorsque les données API sont reçues dans un délai supérieur à 96 heures après l’heure de départ visée à l’article 4, paragraphe 3, point f), le routeur ne transmet pas les données API aux autorités frontalières compétentes mais, au lieu de cela, les supprime.

Lorsqu’il est techniquement impossible d’utiliser le routeur et dans des cas exceptionnels liés aux objectifs du présent règlement dans lesquels il est nécessaire pour les autorités frontalières compétentes de recevoir immédiatement les données API au cours de la période pendant laquelle il est techniquement impossible d’utiliser le routeur, les autorités frontalières compétentes peuvent demander aux transporteurs aériens d’utiliser tout autre moyen approprié, garantissant le niveau nécessaire de sécurité, de qualité et de protection des données, pour leur transférer directement les données API. Les autorités frontalières compétentes traitent les données API qu’elles ont reçues par l’intermédiaire de tout autre moyen approprié conformément aux règles et aux garanties énoncées dans le règlement (UE) 2016/399 et dans le droit national applicable.

À la suite de la notification de l’eu-LISA indiquant qu’il a été remédié à l’impossibilité technique, et lorsqu’il est confirmé, conformément à l’article 14, paragraphe 3, que la transmission des données API par l’intermédiaire du routeur à l’autorité frontalière compétente concernée est achevée, cette dernière supprime immédiatement les données API qu’elle a reçues par l’intermédiaire de tout autre moyen approprié.

3. Lorsqu’il est techniquement impossible d’utiliser le routeur pour transférer des données API en raison d’une défaillance des systèmes ou de l’infrastructure d’un transporteur aérien, visés à l’article 24, ledit transporteur aérien notifie, immédiatement et de manière automatisée, cette impossibilité technique aux autorités frontalières compétentes, à l’eu-LISA et à la Commission. Dans ce cas, ledit transporteur aérien prend immédiatement des mesures pour remédier à l’impossibilité technique d’utiliser le routeur et adresse immédiatement une notification à l’eu-LISA et à la Commission lorsqu’il y a été remédié.

Durant la période comprise entre ces notifications, l’article 6, paragraphe 1, et l’article 8, paragraphe 1, ne s’appliquent pas, dans la mesure où l’impossibilité technique empêche le transfert de données API au routeur. Les transporteurs aériens conservent les données API jusqu’à ce qu’il ait été remédié à l’impossibilité technique. Dès qu’il a été remédié à l’impossibilité technique, les transporteurs aériens transfèrent les données au routeur conformément à l’article 6, paragraphe 1. Cependant, le routeur ne transmet pas les données API aux autorités frontalières compétentes mais les supprime, si celles-ci sont reçues dans un délai supérieur à 96 heures après l’heure de départ visée à l’article 4, paragraphe 3, point f).

Lorsqu’il est techniquement impossible d’utiliser le routeur et dans des cas exceptionnels liés aux objectifs du présent règlement dans lesquels il est nécessaire pour les autorités frontalières compétentes de recevoir immédiatement les données API au cours de la période pendant laquelle il est techniquement impossible d’utiliser le routeur, les autorités frontalières compétentes peuvent demander aux transporteurs aériens d’utiliser tout autre moyen approprié, garantissant le niveau nécessaire de sécurité, de qualité et de protection des données, pour leur transférer directement les données API. Les autorités frontalières compétentes traitent les données API qu’elles ont reçues par l’intermédiaire de tout autre moyen approprié conformément aux règles et aux garanties énoncées dans le règlement (UE) 2016/399 et dans le droit national applicable.

À la suite de la notification de l’eu-LISA indiquant qu’il a été remédié à l’impossibilité technique, et lorsqu’il est confirmé, conformément à l’article 14, paragraphe 3, que la transmission des données API par l’intermédiaire du routeur à l’autorité frontalière compétente concernée est achevée, cette dernière supprime immédiatement les données API qu’elle a reçues par l’intermédiaire de tout autre moyen approprié.

Lorsqu’il a été remédié à l’impossibilité technique, le transporteur aérien concerné soumet, sans tarder, à l’autorité nationale de contrôle des API visée à l’article 36 un rapport contenant toutes les précisions nécessaires sur l’impossibilité technique, notamment les raisons de cette impossibilité technique, son ampleur et ses conséquences, ainsi que les mesures prises pour y remédier.

1. Les transporteurs aériens établissent des registres de toutes les opérations de traitement liées aux données API et effectuées au titre du présent règlement, en utilisant les moyens automatisés visés à l’article 5, paragraphe 2. Ces registres indiquent la date, l’heure et le lieu du transfert des données API. Ces registres ne contiennent aucune donnée à caractère personnel autre que les informations nécessaires pour identifier le membre du personnel concerné du transporteur aérien.

2. L’eu-LISA tient des registres de toutes les opérations de traitement liées au transfert et à la transmission de données API par l’intermédiaire du routeur au titre du présent règlement. Ces registres indiquent:

Ces registres ne contiennent aucune donnée à caractère personnel autre que les informations nécessaires pour identifier le membre du personnel concerné de l’eu-LISA visé au premier alinéa, point d).

3. Les registres visés aux paragraphes 1 et 2 du présent article ne peuvent servir qu’à garantir la sécurité et l’intégrité des données API ainsi que la licéité du traitement, en particulier en ce qui concerne le respect des exigences énoncées dans le présent règlement, y compris les procédures de sanction en cas de violation de ces exigences conformément aux articles 36 et 37.

4. Les transporteurs aériens et l’eu-LISA prennent des mesures appropriées pour protéger les registres qu’ils ont créés conformément aux paragraphes 1 et 2, respectivement, contre un accès non autorisé et d’autres risques pour la sécurité.

5. L’autorité nationale de contrôle des API visée à l’article 36 et les autorités frontalières compétentes ont accès aux registres pertinents visés au paragraphe 1 du présent article lorsque cela est nécessaire aux fins visées au paragraphe 3 du présent article.

6. Les transporteurs aériens et l’eu-LISA conservent les registres qu’ils ont créés conformément aux paragraphes 1 et 2, respectivement, pendant un délai d’un an à compter de la date de leur création. Ils suppriment lesdits registres, immédiatement et de manière définitive, à l’expiration de ce délai.

Toutefois, si ces registres sont nécessaires aux procédures destinées à contrôler ou à garantir la sécurité et l’intégrité des données API ou la licéité des opérations de traitement, ainsi qu’il est mentionné au paragraphe 3, et si ces procédures ont déjà commencé à la date d’expiration du délai visé au premier alinéa du présent paragraphe, l’eu-LISA et les transporteurs aériens conservent ces registres aussi longtemps que nécessaire aux fins de ces procédures. Dans ce cas, ils suppriment immédiatement lesdits registres lorsqu’ils ne sont plus nécessaires aux fins de ces procédures.

1. Les transporteurs aériens sont les responsables du traitement, au sens de l’article 4, point 7), du règlement (UE) 2016/679, pour le traitement des données API constituant des données à caractère personnel lorsqu’ils recueillent ces données et les transfèrent au routeur en vertu du présent règlement.

2. Les États membres désignent chacun une autorité compétente en tant que responsable du traitement conformément au présent article. Les États membres notifient le nom de ces autorités à la Commission, à l’eu-LISA et aux autres États membres.

Toutes les autorités compétentes désignées par les États membres sont les responsables conjoints du traitement, conformément à l’article 26 du règlement (UE) 2016/679, aux fins du traitement des données à caractère personnel dans le routeur.

3. L’eu-LISA est un sous-traitant au sens de l’article 3, point 12), du règlement (UE) 2018/1725 aux fins du traitement, par l’intermédiaire du routeur, des données API constituant des données à caractère personnel en application du présent règlement, y compris la transmission des données du routeur aux autorités frontalières compétentes et la conservation, pour des raisons techniques, de ces données sur le routeur. L’eu-LISA veille à ce que le routeur soit utilisé conformément au présent règlement.

4. La Commission adopte des actes d’exécution établissant les responsabilités respectives des responsables conjoints du traitement et les obligations respectives des responsables conjoints du traitement et du sous-traitant. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 43, paragraphe 2.

1. L’eu-LISA veille à la sécurité et au chiffrement des données API, en particulier celles constituant des données à caractère personnel, qu’elle traite en vertu du présent règlement. Les autorités frontalières compétentes et les transporteurs aériens veillent à la sécurité des données API, en particulier celles constituant des données à caractère personnel, qu’ils traitent en vertu du présent règlement. L’eu-LISA, les autorités frontalières compétentes et les transporteurs aériens coopèrent entre eux, en fonction de leurs responsabilités respectives et dans le respect du droit de l’Union, afin d’assurer cette sécurité.

2. L’eu-LISA prend les mesures nécessaires pour assurer la sécurité du routeur et des données API, en particulier celles constituant des données à caractère personnel, transmises par l’intermédiaire du routeur, notamment en établissant, en mettant en œuvre et en mettant régulièrement à jour un plan de sécurité, un plan de continuité des activités et un plan de rétablissement après sinistre, afin:

Les mesures visées au premier alinéa du présent paragraphe sont sans préjudice de l’article 32 du règlement (UE) 2016/679 ou de l’article 33 du règlement (UE) 2018/1725.

1. Les autorités de contrôle indépendantes visées à l’article 51 du règlement (UE) 2016/679 procèdent, au moins une fois tous les quatre ans, à un audit des opérations de traitement des données API constituant des données à caractère personnel qui sont effectuées par les autorités frontalières compétentes aux fins du présent règlement. Les États membres veillent à ce que leurs autorités de contrôle indépendantes disposent des ressources et de l’expertise suffisantes pour s’acquitter des tâches qui leur sont confiées en vertu du présent règlement.

2. Le Contrôleur européen de la protection des données procède, au moins une fois par an, à un audit des opérations de traitement des données API constituant des données à caractère personnel qui sont effectuées par l’eu-LISA aux fins du présent règlement, conformément aux normes internationales d’audit applicables. Un rapport d’audit est communiqué au Parlement européen, au Conseil, à la Commission, aux États membres et à l’eu-LISA. L’eu-LISA a la possibilité de formuler des observations avant l’adoption des rapports.

3. En ce qui concerne les opérations de traitement visées au paragraphe 2 du présent article, l’eu-LISA, sur demande, communique au Contrôleur européen de la protection des données les renseignements qu’il demande, lui octroie l’accès à tous les documents qu’il demande et aux registres visés à l’article 17, paragraphe 2, et lui permet d’accéder, à tout moment, à l’ensemble de ses locaux.

1. Les États membres veillent à ce que leurs autorités frontalières compétentes soient connectées au routeur. Ils veillent à ce que les systèmes et l’infrastructure des autorités frontalières compétentes pour la réception et le traitement ultérieur des données API transférées en application du présent règlement soient intégrés au routeur.

Les États membres veillent à ce que la connexion au routeur et l’intégration à celui-ci permettent à leurs autorités frontalières compétentes de recevoir et de traiter ultérieurement les données API, ainsi que d’échanger toute communication y afférente, de manière licite, sécurisée, efficace et rapide.

2. La Commission adopte des actes d’exécution précisant les règles détaillées nécessaires concernant les connexions au routeur et l’intégration à celui-ci visées au paragraphe 1 du présent article, y compris concernant les exigences en matière de sécurité des données. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 43, paragraphe 2.

1. Les transporteurs aériens veillent à être connectés au routeur. Ils veillent à ce que leurs systèmes et infrastructures pour le transfert des données API au routeur en vertu du présent règlement soient intégrés au routeur.

Les transporteurs aériens veillent à ce que la connexion au routeur et l’intégration à celui-ci leur permettent de transférer les données API, ainsi que d’échanger toute communication y afférente, de manière licite, sécurisée, efficace et rapide. À cette fin, les transporteurs aériens effectuent des essais de transfert des données API vers le routeur en coopération avec l’eu-LISA, conformément à l’article 27, paragraphe 3.

2. La Commission adopte des actes d’exécution précisant les règles détaillées nécessaires concernant les connexions au routeur et l’intégration à celui-ci visées au paragraphe 1 du présent article, y compris concernant les exigences en matière de sécurité des données. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 43, paragraphe 2.

1. L’eu-LISA est chargée de concevoir l’architecture physique du routeur, y compris de définir ses spécifications techniques.

2. L’eu-LISA est chargée de développer le routeur, y compris de procéder à toute adaptation technique nécessaire au fonctionnement de celui-ci.

Le développement du routeur consiste en l’élaboration et la mise en œuvre des spécifications techniques, en la réalisation d’essais et en la gestion globale du projet et la coordination de la phase de développement.

3. L’eu-LISA veille à concevoir et à développer le routeur de manière à ce qu’il fournisse les fonctionnalités précisées dans le présent règlement, et à ce qu’il entre en service dès que possible après l’adoption par la Commission des actes d’exécution et des actes délégués prévus à l’article 5, paragraphe 7, à l’article 6, paragraphe 3, à l’article 9, paragraphe 6, à l’article 23, paragraphe 2, et à l’article 24, paragraphe 2, du présent règlement et après la réalisation d’une analyse d’impact relative à la protection des données conformément à l’article 35 du règlement (UE) 2016/679.

4. L’eu-LISA fournit aux autorités frontalières compétentes, à d’autres autorités des États membres concernées et aux transporteurs aériens un ensemble d’essais de conformité. Cet ensemble d’essais de conformité comprend un environnement d’essai, un simulateur, des ensembles de données d’essai et un plan d’essai. L’ensemble d’essais de conformité permet un essai complet du routeur comme visé au paragraphe 5 et reste disponible après l’achèvement de cet essai.

5. Lorsque l’eu-LISA considère que la phase de développement est achevée, elle procède, dans les meilleurs délais, à un essai complet du routeur, en coopération avec les autorités frontalières compétentes, et d’autres autorités des États membres concernées et les transporteurs aériens, et informe la Commission des résultats de cet essai.

1. L’eu-LISA héberge le routeur sur ses sites techniques.

2. L’eu-LISA est responsable de la gestion technique du routeur, y compris de sa maintenance et de ses évolutions technologiques, de manière à garantir une transmission sécurisée, efficace et rapide des données API par l’intermédiaire du routeur, en conformité avec le présent règlement.

La gestion technique du routeur consiste à effectuer toutes les tâches et à mettre en œuvre toutes les solutions techniques nécessaires au bon fonctionnement du routeur conformément au présent règlement, de manière ininterrompue, 24 heures sur 24, 7 jours sur 7. Elle comprend les travaux de maintenance et les perfectionnements techniques indispensables pour que le routeur fonctionne à un niveau satisfaisant de qualité technique, notamment quant à la disponibilité, l’exactitude et la fiabilité de la transmission des données API, conformément aux spécifications techniques et, dans la mesure du possible, en fonction des besoins opérationnels des autorités frontalières compétentes et des transporteurs aériens.

3. Le personnel de l’eu-LISA n’a accès à aucune des données API qui sont transmises par l’intermédiaire du routeur. Toutefois, cette interdiction n’empêche pas le personnel de l’eu-LISA d’avoir accès à ces données dans la mesure strictement nécessaire à la maintenance et à la gestion technique du routeur.

4. Sans préjudice du paragraphe 3 du présent article et de l’article 17 du statut des fonctionnaires de l’Union européenne fixé par le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (28), l’eu-LISA applique des règles appropriées en matière de secret professionnel ou impose des obligations de confidentialité équivalentes à tous les membres de son personnel appelés à travailler avec des données API transmises par l’intermédiaire du routeur. Cette obligation continue de s’appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après la cessation de leur activité.

1. L’eu-LISA dispense aux autorités frontalières compétentes, à d’autres autorités des États membres concernées ou aux transporteurs aériens, à leur demande, une formation sur l’utilisation technique du routeur et sur leur connexion et intégration à celui-ci.

2. L’eu-LISA fournit un appui aux autorités frontalières compétentes pour la réception des données API par l’intermédiaire du routeur conformément au présent règlement, notamment en ce qui concerne l’application des articles 14 et 23.

3. Conformément à l’article 24, paragraphe 1, et en utilisant l’ensemble d’essais de conformité visé à l’article 25, paragraphe 4, l’eu-LISA effectue des essais du transfert de données API au routeur en coopération avec les transporteurs aériens.

1. Au plus tard le 28 janvier 2025, le conseil d’administration de l’eu-LISA établit un conseil de gestion du programme. Il se compose de dix membres et comprend:

En ce qui concerne le point a), les membres nommés par le conseil d’administration de l’eu-LISA sont élus uniquement parmi ses membres ou ses suppléants issus des États membres auxquels s’applique le présent règlement.

2. Le conseil de gestion du programme élabore son règlement intérieur, qui est adopté par le conseil d’administration de l’eu-LISA.

La présidence est assurée par un État membre qui est membre du conseil de gestion du programme.

3. Le conseil de gestion du programme contrôle la bonne exécution des tâches de l’eu-LISA relatives à la conception et au développement du routeur conformément à l’article 25.

Sur demande du conseil de gestion du programme, l’eu-LISA fournit des informations détaillées et actualisées sur la conception et le développement du routeur, y compris sur les ressources allouées par l’eu-LISA.

4. Le conseil de gestion du programme soumet régulièrement, et au moins trois fois par trimestre, des rapports écrits sur l’état d’avancement de la conception et du développement du routeur au conseil d’administration de l’eu-LISA.

5. Le conseil de gestion du programme n’a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter le conseil d’administration de l’eu-LISA ou les membres de celui-ci.

6. Le conseil de gestion du programme cesse d’exister à la date d’application du présent règlement, visée à l’article 46, deuxième alinéa.

1. À compter du 28 janvier 2025, le groupe consultatif sur les API-PNR, institué en vertu de l’article 27, paragraphe 1, point d sexies), du règlement (UE) 2018/1726, apporte au conseil d’administration de l’eu-LISA l’expertise nécessaire liée aux API-PNR, en particulier dans le cadre de la préparation de son programme de travail annuel et de son rapport d’activité annuel.

2. L’eu-LISA fournit au groupe consultatif sur les API-PNR des versions, même provisoires, des spécifications techniques et des ensembles d’essais de conformité visés à l’article 25, paragraphes 1, 2 et 4, lorsqu’elles sont disponibles.

3. Le groupe consultatif sur les API-PNR exerce les fonctions suivantes:

4. Le groupe consultatif sur les API-PNR n’a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter le conseil d’administration de l’eu-LISA ou les membres de celui-ci.

1. Au plus tard à la date d’application du présent règlement visée à l’article 46, deuxième alinéa, le conseil d’administration de l’eu-LISA établit un groupe de contact API-PNR.

2. Le groupe de contact API-PNR facilite la communication entre les autorités compétentes des États membres et les transporteurs aériens sur des questions techniques liées à leurs tâches et obligations respectives en vertu du présent règlement.

3. Le groupe de contact API-PNR se compose de représentants des autorités compétentes des États membres et des transporteurs aériens, du président du groupe consultatif sur les API-PNR et d’experts de l’eu-LISA.

4. Le conseil d’administration de l’eu-LISA établit le règlement intérieur du groupe de contact API-PNR, après avoir consulté le groupe consultatif sur les API-PNR.

5. Lorsqu’il l’estime nécessaire, le conseil d’administration de l’eu-LISA peut également créer des sous-groupes du groupe de contact API-PNR pour discuter de questions techniques spécifiques liées aux tâches et obligations respectives des autorités compétentes des États membres et des transporteurs aériens en vertu du présent règlement.

6. Le groupe de contact API-PNR, y compris ses sous-groupes, n’a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter le conseil d’administration de l’eu-LISA ou les membres de celui-ci.

1. Au plus tard à la date d’application du présent règlement visée à l’article 46, deuxième alinéa, la Commission établit un groupe d’experts sur les API conformément aux règles horizontales sur la création et le fonctionnement des groupes d’experts de la Commission.

2. Le groupe d’experts sur les API permet la communication entre les autorités compétentes des États membres, et entre les autorités compétentes des États membres et les transporteurs aériens, sur des questions politiques liées à leurs tâches et obligations respectives en vertu du présent règlement, y compris en ce qui concerne les sanctions visées à l’article 37.

3. Le groupe d’experts sur les API est présidé par la Commission et constitué selon les règles horizontales sur la création et le fonctionnement des groupes d’experts de la Commission. Il se compose de représentants des autorités compétentes des États membres, de représentants des transporteurs aériens et d’experts de l’eu-LISA. Lorsque cela est nécessaire à l’exécution de ses tâches, le groupe d’experts sur les API peut inviter des parties prenantes concernées, en particulier des représentants du Parlement européen, du Contrôleur européen de la protection des données et des autorités de contrôle nationales indépendantes, à participer à ses travaux.

4. Le groupe d’experts sur les API s’acquitte de ses tâches dans le respect du principe de transparence. La Commission publie les procès-verbaux des réunions du groupe d’experts sur les API et d’autres documents pertinents sur son site internet.

1. Les coûts exposés par l’eu-LISA en ce qui concerne la mise en place et le fonctionnement du routeur au titre du présent règlement sont à la charge du budget général de l’Union.

2. Les coûts exposés par les États membres pour la mise en œuvre du présent règlement, en particulier pour leur connexion au routeur et l’intégration à celui-ci visées à l’article 23, sont à la charge du budget général de l’Union, conformément aux règles d’éligibilité et aux taux de cofinancement fixés dans les actes juridiques applicables de l’Union.

3. Les coûts exposés par le Contrôleur européen de la protection des données pour les tâches qui lui sont confiées par le présent règlement sont à la charge du budget général de l’Union.

4. Les coûts exposés par les autorités de contrôle nationales indépendantes pour les tâches qui leur sont confiées par le présent règlement sont à la charge des États membres.

1. Les transporteurs aériens sont autorisés à utiliser le routeur pour transmettre les informations visées à l’article 3, paragraphes 1 et 2, de la directive 2004/82/CE à une ou plusieurs des autorités responsables qui y sont visées, conformément à ladite directive, à condition que l’État membre concerné ait accepté cette utilisation, à partir d’une date appropriée fixée par cet État membre. Cet État membre n’accepte qu’après avoir établi que, en particulier en ce qui concerne la connexion de ses propres autorités responsables au routeur et celle du transporteur aérien concerné, les informations peuvent être transmises de manière licite, sécurisée, efficace et rapide.

2. Lorsqu’un transporteur aérien commence à utiliser le routeur conformément au paragraphe 1 du présent article, il continue d’utiliser le routeur pour transmettre ces informations aux autorités responsables de l’État membre concerné jusqu’à la date d’application du présent règlement visée à l’article 46, deuxième alinéa. Toutefois, cette utilisation est interrompue, à partir d’une date appropriée fixée par cet État membre, lorsque cet État membre considère qu’il existe des raisons objectives qui exigent une telle interruption et a informé le transporteur aérien en conséquence.

3. L’État membre concerné:

1. Les États membres désignent une ou plusieurs autorités nationales de contrôle des API chargées de contrôler l’application, sur leur territoire, des dispositions du présent règlement par les transporteurs aériens et de veiller au respect de ces dispositions.

2. Les États membres veillent à ce que les autorités nationales de contrôle des API disposent de tous les moyens et de tous les pouvoirs d’enquête et d’exécution nécessaires pour s’acquitter de leurs missions prévues par le présent règlement, y compris en imposant les sanctions visées à l’article 37, s’il y a lieu. Les États membres veillent à ce que l’exercice des pouvoirs conférés à l’autorité nationale de contrôle des API fasse l’objet de garanties appropriées dans le respect des droits fondamentaux garantis par le droit de l’Union.

3. Les États membres notifient à la Commission, au plus tard à la date d’application du présent règlement visée à l’article 46, deuxième alinéa, le nom et les coordonnées des autorités qu’ils ont désignées en vertu du paragraphe 1 du présent article. Ils notifient à la Commission sans tarder tout changement ou toute modification ultérieurs à cet égard.

4. Le présent article s’entend sans préjudice des pouvoirs des autorités de contrôle visées à l’article 51 du règlement (UE) 2016/679.

1. Les États membres déterminent le régime des sanctions applicables aux violations du présent règlement et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives.

2. Les États membres informent la Commission, au plus tard à la date d’application du présent règlement visée à l’article 46, deuxième alinéa, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures.

3. Les États membres veillent à ce que les autorités nationales de contrôle des API, lorsqu’elles décident s’il y a lieu d’imposer une sanction et lorsqu’elles déterminent le type et le niveau de sanction, tiennent compte des circonstances pertinentes, qui peuvent comprendre:

4. Les États membres veillent à ce qu’un manquement récurrent à l’obligation de transférer des données API conformément à l’article 6, paragraphe 1, fasse l’objet de sanctions financières proportionnées pouvant atteindre jusqu’à 2 % du chiffre d’affaires mondial du transporteur aérien pour l’exercice précédent. Les États membres veillent à ce que le non-respect des autres obligations énoncées dans le présent règlement fasse l’objet de sanctions proportionnées, y compris des sanctions financières.

1. Pour faciliter la mise en œuvre et le contrôle de l’application du présent règlement, et sur la base des informations statistiques visées au paragraphe 5, l’eu-LISA publie chaque trimestre des statistiques sur le fonctionnement du routeur et sur le respect par les transporteurs aériens des obligations énoncées au présent règlement. Ces statistiques ne permettent pas l’identification de personnes.

2. Aux fins énoncées au paragraphe 1, le routeur transmet automatiquement les données énumérées au paragraphe 5 au CRRS.

3. Pour faciliter la mise en œuvre et le contrôle de l’application du présent règlement, chaque année, l’eu-LISA établit des données statistiques dans un rapport annuel pour l’année précédente. L’eu-LISA publie ce rapport annuel et le transmet au Parlement européen, au Conseil, à la Commission, au Contrôleur européen de la protection des données, à l’Agence européenne de garde-frontières et de garde-côtes et aux autorités nationales de contrôle des API visées à l’article 36. Le rapport annuel ne divulgue pas les méthodes de travail confidentielles et ne compromet pas les enquêtes en cours des autorités compétentes des États membres.

4. À la demande de la Commission, l’eu-LISA lui fournit des statistiques sur des aspects spécifiques ayant trait à la mise en œuvre du présent règlement, ainsi que les statistiques visées au paragraphe 3.

5. Le CRRS fournit à l’eu-LISA les informations statistiques suivantes nécessaires à l’établissement des rapports visés à l’article 45 et à la production de statistiques conformément au présent article, sans que ces statistiques sur les données API permettent l’identification des passagers concernés:

6. Aux fins de l’établissement des rapports visés à l’article 45 et en vue de la production de statistiques conformément au présent article, l’eu-LISA conserve les données visées au paragraphe 5 du présent article dans le CRRS. Elle conserve ces données pour une durée de cinq ans conformément au paragraphe 2, tout en veillant à ce que les données ne permettent pas d’identifier les passagers concernés. Le CRRS fournit au personnel dûment autorisé des autorités frontalières compétentes et à d’autres autorités des États membres concernées des rapports et des statistiques personnalisables sur les données API visées au paragraphe 5 du présent article aux fins de la mise en œuvre et du contrôle de l’application du présent règlement.

7. L’utilisation des données visées au paragraphe 5 du présent article ne peut aboutir au profilage des personnes, comme visé à l’article 22 du règlement (UE) 2016/679, ni entraîner de discriminations à l’encontre des personnes fondées sur les motifs énumérés à l’article 21 de la Charte. Les données visées au paragraphe 5 du présent article ne sont pas utilisées pour les comparer avec des données à caractère personnel ou les rapprocher de données à caractère personnel ou pour les combiner avec des données à caractère personnel.

8. Les procédures mises en place par l’eu-LISA pour suivre le développement et le fonctionnement du routeur, mentionnées à l’article 39, paragraphe 2, du règlement (UE) 2019/817 incluent la possibilité de produire régulièrement des statistiques aux fins de ce suivi.

1. La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2. Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique. Lorsque le comité n’émet aucun avis, la Commission n’adopte pas le projet d’acte d’exécution, et l’article 5, paragraphe 4, troisième alinéa, du règlement (UE) no 182/2011 s’applique.

1. Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2. Le pouvoir d’adopter des actes délégués visé à l’article 5, paragraphes 6 et 7, à l’article 6, paragraphe 3, et à l’article 9, paragraphe 6, est conféré à la Commission pour une période de cinq ans à compter du 28 janvier 2025. La Commission élabore un rapport relatif à la délégation de pouvoir au plus tard neuf mois avant la fin de la période de cinq ans. La délégation de pouvoir est tacitement prorogée pour des périodes d’une durée identique, sauf si le Parlement européen ou le Conseil s’oppose à cette prorogation au plus tard trois mois avant la fin de chaque période.

En ce qui concerne un acte délégué adopté en vertu de l’article 5, paragraphe 6, du présent article, si une objection a été exprimée par le Parlement européen ou le Conseil comme prévu au paragraphe 6 du présent article, le Parlement européen ou le Conseil ne s’oppose pas à la prorogation tacite visée au premier alinéa du présent paragraphe.

3. La délégation de pouvoir visée à l’article 5, paragraphe 7, à l’article 6, paragraphe 3, et à l’article 9, paragraphe 6, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4. Avant l’adoption d’un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer».

5. Aussitôt qu’elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

6. Un acte délégué adopté en vertu de l’article 5, paragraphe 6 ou 7, de l’article 6, paragraphe 3, ou de l’article 9, paragraphe 6, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de deux mois à l’initiative du Parlement européen ou du Conseil.

1. L’eu-LISA veille à ce que des procédures soient mises en place pour suivre le développement du routeur par rapport aux objectifs fixés en matière de planification et de coûts et pour suivre le fonctionnement du routeur par rapport aux objectifs fixés en matière de résultats techniques, de rapport coût-efficacité, de sécurité et de qualité du service.

2. Au plus tard le 29 janvier 2026, puis tous les ans pendant la phase de développement du routeur, l’eu-LISA établit un rapport sur l’état d’avancement du développement du routeur et présente ce rapport au Parlement européen et au Conseil. Ce rapport contient des informations détaillées sur les coûts exposés et sur tout risque susceptible d’avoir une incidence sur les coûts globaux qui sont à la charge du budget général de l’Union conformément à l’article 32.

3. Une fois le routeur mis en service, l’eu-LISA élabore et soumet au Parlement européen et au Conseil un rapport expliquant en détail la manière dont les objectifs, en particulier ceux ayant trait à la planification et aux coûts, ont été atteints, et indiquant les raisons d’éventuels écarts.

4. Au plus tard le 29 janvier 2029, puis tous les quatre ans, la Commission établit un rapport présentant une évaluation globale du présent règlement, y compris sur la nécessité et la valeur ajoutée de la collecte des données API, dont une évaluation de:

Aux fins du premier alinéa, point e), le rapport de la Commission traite également de l’interaction entre le présent règlement et d’autres actes législatifs de l’Union pertinents, notamment les règlements (CE) no 767/2008, (UE) 2017/2226 et (UE) 2018/1240, en vue d’évaluer les répercussions globales des obligations connexes de déclaration imposées aux transporteurs aériens, recense les dispositions qui pourraient être mises à jour et simplifiées, le cas échéant, afin d’alléger la charge pesant sur les transporteurs aériens, et envisage des actions et des mesures qui pourraient être entreprises pour réduire le coût total de la mise en œuvre pour les transporteurs aériens.

5. La Commission soumet le rapport d’évaluation au Parlement européen, au Conseil, au Contrôleur européen de la protection des données et à l’Agence des droits fondamentaux de l’Union européenne. S’il y a lieu, au vu de l’évaluation effectuée, la Commission soumet une proposition législative au Parlement européen et au Conseil en vue de modifier le présent règlement.

6. Les États membres et les transporteurs aériens communiquent à l’eu-LISA et à la Commission, à leur demande, les informations nécessaires à l’établissement des rapports visés aux paragraphes 2, 3 et 4, telles que les données liées aux résultats des vérifications préalables dans les systèmes d’information de l’Union et les bases de données nationales effectuées aux frontières extérieures en utilisant les données API. En particulier, les États membres fournissent des informations quantitatives et qualitatives sur la collecte des données API d’un point de vue opérationnel. Les informations fournies ne comprennent pas de données à caractère personnel. Les États membres peuvent s’abstenir de fournir ces informations si, et dans la mesure où, cela est nécessaire pour ne pas divulguer des méthodes de travail confidentielles ou ne pas compromettre des enquêtes en cours des autorités frontalières compétentes. La Commission veille à ce que toute information confidentielle communiquée soit correctement protégée.