Règlement (UE) 2025/13 du Parlement européen et du Conseil du 19 décembre 2024 relatif à la collecte et au transfert des informations préalables sur les passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, et modifiant le règlement (UE) 2019/818

(1)

La dimension transnationale des formes graves de criminalité et de criminalité organisée et la menace constante d’attentats terroristes sur le sol européen appellent une action au niveau de l’Union pour adopter des mesures appropriées afin d’assurer la sécurité au sein d’un espace de liberté, de sécurité et de justice sans frontières intérieures. Les informations sur les passagers, telles que les dossiers passagers (PNR) et en particulier les informations préalables sur les passagers (API), sont essentielles pour identifier les passagers à haut risque, notamment ceux qui ne sont pas autrement connus des services répressifs, pour établir des liens entre les membres de groupes criminels, et pour contrer les activités terroristes.

(2)

Si la directive 2004/82/CE du Conseil (3) établit un cadre juridique pour la collecte et le transfert de données API par les transporteurs aériens, dans le but d’améliorer le contrôle aux frontières et de lutter contre l’immigration illégale, elle dispose également que les États membres peuvent utiliser les données API à des fins répressives. Toutefois, se limiter à créer une telle possibilité conduit à un certain nombre de lacunes et d’insuffisances. En particulier, les données API ne sont pas systématiquement recueillies et transférées par les transporteurs aériens à des fins répressives. La possibilité d’utiliser des données API à des fins répressives implique également que, lorsque les États membres ont fait usage de cette possibilité, les transporteurs aériens sont confrontés à des exigences divergentes, imposées par le droit national, en ce qui concerne le moment et les modalités de la collecte et du transfert des données API à ces fins. Ces divergences non seulement entraînent des coûts et des complications inutiles pour les transporteurs aériens, mais elles peuvent également nuire à la sécurité intérieure de l’Union et à l’efficacité de la coopération entre les services répressifs compétents des États membres. En outre, les objectifs de facilitation du contrôle aux frontières et de facilitation de l’action répressive étant de nature différente, il convient d’établir un cadre juridique distinct pour la collecte et le transfert de données API servant chacun de ces objectifs.

(3)

La directive (UE) 2016/681 du Parlement européen et du Conseil (4) établit des règles concernant l’utilisation des données PNR pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière. En vertu de cette directive, les États membres doivent adopter les mesures nécessaires pour garantir que les transporteurs aériens transfèrent les données PNR, y compris toute donnée API recueillie, à l’unité nationale d’informations passagers (UIP) créée en vertu de ladite directive, pour autant qu’ils aient déjà recueilli de telles données dans le cours normal de leurs activités. Par conséquent, ladite directive ne garantit pas la collecte et le transfert de données API dans tous les cas, car les transporteurs aériens n’ont aucune raison liée à leur activité de recueillir un ensemble complet de telles données. Il importe de veiller à ce que les UIP reçoivent les données API en même temps que les données PNR, étant donné que le traitement conjoint de ces données est nécessaire pour que les autorités compétentes des États membres soient en mesure de prévenir et de détecter efficacement les infractions terroristes et les formes graves de criminalité, ainsi que d’enquêter et d’engager des poursuites en la matière. En particulier, ce traitement conjoint permet l’identification précise des passagers qui pourraient devoir faire l’objet d’un examen plus approfondi, conformément au droit applicable, par ces autorités. En outre, ladite directive ne précise pas quelles informations constituent des données API. Pour ces raisons, il convient d’établir des règles complémentaires exigeant des transporteurs aériens qu’ils recueillent et transfèrent ensuite un ensemble de données API défini précisément, cette exigence devant s’appliquer dans la mesure où les transporteurs aériens sont tenus, en vertu de ladite directive, de recueillir et de transférer des données PNR sur le même vol.

(4)

Il est donc nécessaire d’établir des règles claires, harmonisées et efficaces au niveau de l’Union en matière de collecte et de transfert des données API aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière.

(5)

Compte tenu de la relation étroite entre les deux actes, le présent règlement devrait être interprété comme complétant les règles prévues par la directive (UE) 2016/681, telles qu’elles sont interprétées par la Cour de justice de l’Union européenne (CJUE). Par conséquent, les données API doivent uniquement être recueillies et transférées au titre du présent règlement conformément aux exigences spécifiques qui y sont prévues, notamment pour ce qui est des cas d’application et des modalités à appliquer. Toutefois, les règles de ladite directive s’appliquent à des questions qui ne sont pas spécifiquement couvertes par le présent règlement, en particulier les règles concernant le traitement ultérieur des données API reçues par les UIP, l’échange d’informations entre les États membres, les conditions d’accès par l’Agence de l’Union européenne pour la coopération des services répressifs (Europol), les transferts vers des pays tiers, la conservation et la dépersonnalisation, ainsi que la protection des données à caractère personnel. Dans la mesure où ces règles s’appliquent, les règles de ladite directive relatives aux sanctions et aux autorités de contrôle nationales s’appliquent également. Le présent règlement ne devrait pas affecter les règles en question et devrait donc, en particulier, s’entendre sans préjudice des exigences et des garanties applicables au traitement des données API par les UIP.

(6)

La collecte et le transfert des données API ont une incidence sur la vie privée des personnes et impliquent le traitement de leurs données à caractère personnel. Afin de respecter pleinement leurs droits fondamentaux, en particulier le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, conformément à la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte»), il convient de prévoir des limites et des garanties adéquates. Par exemple, tout traitement de données API et, en particulier, de données API constituant des données à caractère personnel, devrait rester strictement limité à ce qui est nécessaire et proportionné à la réalisation des objectifs poursuivis par le présent règlement. En outre, il convient de veiller à ce que le traitement de toutes données API recueillies et transférées au titre du présent règlement n’entraîne aucune forme de discrimination interdite par la Charte.

(7)

Compte tenu du caractère complémentaire du présent règlement par rapport à la directive (UE) 2016/681, les obligations incombant aux transporteurs aériens en vertu du présent règlement devraient s’appliquer à tous les vols pour lesquels les États membres doivent exiger des transporteurs aériens qu’ils transmettent les données PNR au titre de la directive (UE) 2016/681, quel que soit le lieu d’établissement des transporteurs aériens effectuant ces vols. Ces vols devraient concerner les vols à la fois réguliers et non réguliers, tant entre États membres et pays tiers (vols extra-UE) qu’entre plusieurs États membres (vols intra-UE), à condition que ces vols intra-UE partent, atterrissent ou effectuent une escale sur le territoire d’au moins un État membre qui a notifié sa décision d’appliquer la directive (UE) 2016/681 aux vols intra-UE conformément à l’article 2, paragraphe 1, de ladite directive et en conformité avec la jurisprudence de la CJUE. En ce qui concerne les vols intra-UE couverts par le présent règlement, une telle approche ciblée, adoptée en application de l’article 2 de la directive (UE) 2016/681 et centrée sur les exigences d’une action répressive efficace, devrait également être requise compte tenu de la nécessité de garantir le respect des exigences du droit de l’Union en ce qui concerne la nécessité et la proportionnalité du traitement des données, la libre circulation des personnes et la suppression des contrôles aux frontières intérieures. La collecte de données provenant de toutes les autres opérations d’aéronefs civils, telles que les écoles de vol, les vols médicaux, les vols d’urgence, ainsi que les vols militaires, ne relève pas du champ d’application du présent règlement. Le présent règlement s’entend sans préjudice de la collecte de données provenant de ces vols, prévue dans le droit national qui est conforme au droit de l’Union. La Commission devrait évaluer la faisabilité d’un système de l’Union qui oblige les exploitants de vols privés à recueillir et à transférer des données sur les passagers aériens.

(8)

Les obligations incombant aux transporteurs aériens en matière de collecte et de transfert des données API au titre du présent règlement devraient inclure tous les passagers et les membres d’équipage des vols à destination de l’Union, les passagers et les membres d’équipage en transit dont la destination finale est située en dehors de l’Union, ainsi que tout membre d’équipage qui n’est pas en service, embarqué sur un vol effectué par un transporteur aérien dans le cadre de ses fonctions.

(9)

En conséquence, étant donné que la directive (UE) 2016/681 ne couvre pas les vols intérieurs qui partent et atterrissent sur le territoire du même État membre, sans escale sur le territoire d’un autre État membre ou d’un pays tiers, et compte tenu de la dimension transnationale des infractions terroristes et des formes graves de criminalité relevant du présent règlement, ces vols ne devraient pas non plus relever du champ d’application du présent règlement. Le présent règlement ne devrait pas être interprété comme remettant en cause la possibilité pour les États membres de prévoir, dans leur droit national et dans le respect du droit de l’Union, l’obligation pour les transporteurs aériens de recueillir et de transférer des données API sur ces vols intérieurs.

(10)

Compte tenu de la relation étroite entre les actes juridiques de l’Union concernés et dans un souci d’homogénéité et de cohérence, les définitions figurant dans le présent règlement devraient être, le cas échéant, alignées sur les définitions figurant dans la directive (UE) 2016/681 et dans le règlement (UE) 2025/12 du Parlement européen et du Conseil (5), et être interprétées et appliquées à la lumière de ces définitions.

(11)

En particulier, les éléments d’information qui constituent ensemble les données API à recueillir puis à transférer au titre du présent règlement devraient être énumérés de manière claire et exhaustive, c’est-à-dire qu’ils devraient couvrir à la fois les informations relatives à chaque passager et chaque membre d’équipage et les informations relatives au vol pris par ce passager et ce membre d’équipage. En vertu du présent règlement et conformément aux normes internationales, ces informations de vol ne devraient comprendre les informations relatives aux sièges et aux bagages, lorsque ces informations sont disponibles, et les informations relatives au point de passage frontalier d’entrée sur le territoire de l’État membre concerné que dans les cas où c’est applicable, et non lorsque les données API se rapportent à des vols intra-UE. Lorsque des informations relatives aux bagages ou aux sièges sont disponibles dans d’autres systèmes informatiques qui sont à la disposition du transporteur aérien, de son gestionnaire, de son prestataire de système ou de l’autorité aéroportuaire, les transporteurs aériens devraient intégrer ces informations aux données API qui doivent être transférées à l’UIP. Les données API telles qu’elles sont définies et régies par le présent règlement ne comprennent pas les données biométriques.

(12)

Afin de permettre de voyager sans être muni d’un document de voyage lorsque les États membres autorisent une telle pratique en vertu du droit national conforme au droit de l’Union, y compris sur la base d’un accord international, il devrait être possible pour un État membre d’imposer aux transporteurs aériens l’obligation de prévoir la possibilité pour les passagers de téléverser volontairement des données API par des moyens automatisés et que ces données soient conservées par le transporteur aérien en vue d’être transférées pour des vols futurs.

(13)

Afin de permettre la flexibilité et l’innovation, il convient, en principe, de laisser à chaque transporteur aérien le soin de déterminer la manière dont il s’acquitte de ses obligations en ce qui concerne la collecte des données API énoncées dans le présent règlement, en tenant compte des différents types de transporteurs aériens tels qu’ils sont définis dans le présent règlement et de leurs modèles commerciaux respectifs, y compris en ce qui concerne les horaires d’enregistrement et la coopération avec les aéroports. Toutefois, étant donné qu’il existe des solutions technologiques appropriées qui permettent de recueillir automatiquement certaines données API tout en garantissant que les données API concernées sont exactes, complètes et à jour, et compte tenu des avantages que présente l’utilisation de cette technologie en matière d’efficacité et d’efficience, les transporteurs aériens devraient être tenus de recueillir ces données API à l’aide de moyens automatisés, en lisant les informations à partir des données lisibles par machine du document de voyage. Lorsque, dans des circonstances exceptionnelles, le recours à des moyens automatisés n’est pas possible du point de vue technique, les transporteurs aériens devraient, à titre exceptionnel, recueillir les données API manuellement, soit dans le cadre de la procédure d’enregistrement en ligne, soit dans le cadre de l’enregistrement à l’aéroport, et ce selon des modalités qui permettent de respecter les obligations prévues par le présent règlement.

(14)

La collecte des données API par des moyens automatisés devrait être strictement limitée aux données alphanumériques contenues dans le document de voyage et ne devrait pas donner lieu à la collecte de données biométriques à partir de ce document. Étant donné que la collecte des données API fait partie de la procédure d’enregistrement, en ligne ou à l’aéroport, le présent règlement n’impose pas aux transporteurs aériens l’obligation de contrôler un document de voyage du passager au moment de l’embarquement. Le respect du présent règlement n’impose pas aux passagers l’obligation d’être munis d’un document de voyage au moment de l’embarquement. Ceci devrait s’entendre sans préjudice des obligations découlant d’autres actes juridiques de l’Union ou du droit national qui est conforme au droit de l’Union.

(15)

La collecte des données API contenues dans les documents de voyage devrait également être conforme aux normes de l’Organisation de l’aviation civile internationale (OACI) concernant les documents de voyage lisibles par machine, qui ont été intégrées dans le droit de l’Union par le règlement (UE) 2019/1157 du Parlement européen et du Conseil (6), le règlement (CE) no 2252/2004 du Conseil (7) et la directive (UE) 2019/997 du Conseil (8).

(16)

Afin d’éviter une situation dans laquelle les transporteurs aériens sont tenus d’établir et de maintenir des connexions multiples avec les IUP des États membres pour le transfert des données API recueillies au titre du présent règlement, et de prévenir ainsi les manques d’efficacité et les risques pour la sécurité qui en découlent, il convient de prévoir un routeur unique, mis en place et exploité au niveau de l’Union conformément au présent règlement et au règlement (UE) 2025/12, servant de point de connexion et de distribution pour ces transferts. Dans un souci d’efficience et de rentabilité, le routeur devrait, dans la mesure où cela est techniquement possible et dans le plein respect des règles du présent règlement et du règlement (UE) 2025/12, s’appuyer sur des composants techniques provenant d’autres systèmes pertinents créés en vertu du droit de l’Union, notamment le service internet visé dans le règlement (UE) 2017/2226 du Parlement européen et du Conseil (9), le portail pour les transporteurs visé dans le règlement (UE) 2018/1240 du Parlement européen et du Conseil (10) et le portail pour les transporteurs visé dans le règlement (CE) no 767/2008 du Parlement européen et du Conseil (11). Afin de réduire l’incidence sur les transporteurs aériens et de garantir une approche harmonisée à l’égard des transporteurs aériens, l’Agence de l’Union européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA), créée par le règlement (UE) 2018/1726 du Parlement européen et du Conseil (12), devrait, dans la mesure où cela est possible sur les plans technique et opérationnel, concevoir le routeur d’une manière qui soit cohérente et compatible avec les obligations qui incombent aux transporteurs aériens énoncées dans les règlements (CE) no 767/2008, (UE) 2017/2226 et (UE) 2018/1240.

(17)

Afin d’assurer la lisibilité des données PNR par les UIP et le bon fonctionnement de leurs systèmes PNR, les messages numériques envoyés par un transporteur aérien contenant un ou plusieurs dossiers passagers (ci-après dénommés «messages PNR»), devraient être transférés par les transporteurs aériens et transmis par le routeur dans un format normalisé au moyen de champs ou de codes de données normalisés, tant en matière de contenu que de structure. Avant que le routeur ne soit mis en service pour ce qui concerne d’autres données PNR, les essais que doit effectuer l’eu-LISA devraient garantir que le routeur dispose de la capacité, de la rapidité et de la fiabilité requises pour assurer une telle normalisation. À cette fin, la Commission devrait prendre les mesures nécessaires pour réviser les dispositions d’exécution existantes adoptées en vertu de l’article 16 de la directive (UE) 2016/681 établissant des protocoles communs et des formats de données reconnus. Cette révision devrait être effectuée en étroite concertation avec les représentants des États membres afin de tirer parti de leur expertise et de garantir que les meilleures pratiques qu’ils ont mises au point lors de la mise en œuvre de la directive (UE) 2016/681 au niveau national sont prises en compte au niveau de l’Union pour le fonctionnement du routeur. Le groupe de contact API-PNR devrait soutenir cette révision.

(18)

Afin d’améliorer l’efficacité de la transmission des données relatives au trafic aérien et de faciliter le contrôle des données API transmises aux UIP, le routeur devrait recevoir des données de trafic aérien en temps réel recueillies par d’autres organisations, telles que l’Organisation européenne pour la sécurité de la navigation aérienne (Eurocontrol).

(19)

Le routeur ne devrait servir qu’à faciliter le transfert des données API et d’autres données PNR par les transporteurs aériens aux UIP conformément au présent règlement et ne devrait pas constituer un répertoire contenant les données API ou d’autres données PNR. Par conséquent, et pour réduire au minimum tout risque d’accès non autorisé ou d’autre utilisation abusive et conformément au principe de minimisation des données, aucune conservation ne devrait avoir lieu sauf si elle est strictement nécessaire à des fins techniques liées à la transmission, et les données API ou d’autres données PNR devraient être supprimées du routeur, immédiatement, de manière définitive et automatisée, à compter du moment où la transmission est achevée ou, le cas échéant au titre du présent règlement, les données API et les autres données PNR ne doivent pas être transmises du tout.

(20)

Afin de permettre aux transporteurs aériens de bénéficier dans les meilleurs délais des avantages offerts par l’utilisation du routeur mis au point par l’eu-LISA conformément au présent règlement et au règlement (UE) 2025/12 et d’acquérir de l’expérience dans son utilisation, les transporteurs aériens devraient avoir la possibilité, mais pas l’obligation, d’utiliser le routeur pour transférer les informations qu’ils sont tenus de transférer au titre de la directive 2004/82/CE pendant une période intermédiaire. Cette période intermédiaire devrait débuter au moment où le routeur est mis en service et prendre fin lorsque les obligations prévues par ladite directive cessent de s’appliquer. Afin de veiller à ce que toute utilisation volontaire du routeur ait lieu de manière responsable, l’accord écrit préalable de l’État membre qui doit recevoir les informations devrait être requis, à la demande du transporteur aérien et après que cet État membre a effectué des vérifications et obtenu des assurances, le cas échéant. De même, afin d’éviter une situation dans laquelle, de manière répétée, les transporteurs aériens entameraient et interrompraient l’utilisation du routeur, à partir du moment où un transporteur aérien entame une telle utilisation sur une base volontaire, il devrait être tenu de la poursuivre, à moins qu’il n’existe des raisons objectives d’interrompre l’utilisation du routeur pour le transfert des informations à l’État membre concerné, par exemple s’il est apparu que les informations ne sont pas transférées de manière licite, sécurisée, efficace et rapide. Dans l’intérêt de la bonne application de la possibilité d’utiliser volontairement le routeur, en tenant dûment compte des droits et des intérêts de toutes les parties concernées, le présent règlement devrait prévoir les règles nécessaires en matière de consultations et de communication d’informations. Une telle utilisation volontaire du routeur dans le cadre de l’application de la directive 2004/82/CE comme le prévoit le présent règlement ne devrait pas être interprétée comme affectant de quelque manière que ce soit les obligations des transporteurs aériens et des États membres au titre de ladite directive.

(21)

Les exigences fixées par le présent règlement et par les actes délégués et actes d’exécution correspondants devraient mener à une mise en œuvre uniforme du présent règlement par les transporteurs aériens, réduisant ainsi au minimum le coût de l’interconnexion de leurs systèmes respectifs. Pour faciliter la mise en œuvre harmonisée de ces exigences par les transporteurs aériens, notamment en ce qui concerne la structure, le format et le protocole de transmission des données, la Commission, sur la base de sa coopération avec les UIP, d’autres autorités des États membres, les transporteurs aériens et les agences de l’Union concernées, devrait veiller à ce que le manuel pratique que la Commission doit élaborer fournisse toutes les orientations et clarifications nécessaires.

(22)

Afin d’améliorer la qualité des données API, le routeur à établir en vertu du présent règlement devrait vérifier si les données API qui lui sont transférées par les transporteurs aériens sont conformes aux formats de données reconnus. Lorsque la vérification établit que les données ne sont pas conformes à ces formats de données, le routeur devrait en informer, immédiatement et de manière automatisée, le transporteur aérien concerné.

(23)

Les passagers devraient avoir la possibilité de fournir eux-mêmes certaines données API par des moyens automatisés au cours d’un processus d’enregistrement en ligne, par exemple, au moyen d’une application sécurisée sur leur smartphone, d’un ordinateur ou d’une webcaméra qui soit en mesure de lire les données lisibles par machine du document de voyage. Lorsque les passagers ne s’enregistrent pas en ligne, les transporteurs aériens devraient leur donner la possibilité de fournir les données API lisibles par machine requises lors de l’enregistrement à l’aéroport en se rendant à une borne en libre-service ou avec l’aide du personnel des transporteurs aériens au comptoir d’enregistrement. Sans préjudice de la liberté des transporteurs aériens de fixer les tarifs des passagers et de définir leur politique commerciale, il importe que les obligations prévues par le présent règlement n’entraînent pas d’obstacles disproportionnés pour les passagers qui ne sont pas en mesure d’utiliser des moyens en ligne pour fournir des données API, tels que des redevances supplémentaires pour la fourniture de données API à l’aéroport. En outre, le présent règlement devrait prévoir une période transitoire pendant laquelle les passagers ont la possibilité de fournir manuellement des données API dans le cadre du processus d’enregistrement en ligne. Dans de tels cas, les transporteurs aériens devraient utiliser des techniques de vérification des données.

(24)

Il importe que les systèmes de collecte automatisée de données et les autres processus établis au titre du présent règlement ne se répercutent pas de manière négative sur les salariés du secteur de l’aviation, lesquels doivent bénéficier de possibilités de perfectionnement et de reconversion professionnels qui amélioreraient l’efficacité et la fiabilité de la collecte et du transfert de données ainsi que les conditions de travail dans le secteur.

(25)

Afin de garantir le traitement conjoint des données API et des données PNR, pour lutter efficacement contre le terrorisme et les formes graves de criminalité dans l’Union tout en réduisant au minimum l’atteinte aux droits fondamentaux des passagers protégés par la Charte, les UIP devraient être les autorités compétentes des États membres chargées de recevoir, puis de traiter et de protéger les données API recueillies et transférées en vertu du présent règlement. Par souci d’efficacité et afin de réduire au minimum les risques pour la sécurité, le routeur, tel qu’il est conçu, développé, hébergé et techniquement entretenu par l’eu-LISA conformément au présent règlement et au règlement (UE) 2025/12, devrait transmettre aux UIP concernées les données API, recueillies et transférées par les transporteurs aériens. Compte tenu du niveau de protection nécessaire des données API constituant des données à caractère personnel, notamment pour garantir la confidentialité des informations concernées, les données API devraient être transmises par le routeur aux UIP concernées de manière automatisée. Le présent règlement ne devrait pas affecter la possibilité pour les États membres de prévoir un point d’entrée unique des données qui garantisse leur connexion au routeur et leur intégration à celui-ci.

(26)

Afin d’assurer le respect des droits prévus par la Charte et de garantir des options de voyage accessibles et inclusives, en particulier pour les groupes vulnérables et les personnes handicapées, et conformément aux droits des personnes handicapées et des personnes à mobilité réduite lorsqu’elles font des voyages aériens énoncés dans le règlement (CE) no 1107/2006 du Parlement européen et du Conseil (13), les transporteurs aériens, avec l’appui des États membres, devraient veiller à ce que les passagers disposent à tout moment, à l’aéroport, d’une option leur permettant de fournir les données nécessaires.

(27)

Pour les vols extra-UE, l’UIP de l’État membre sur le territoire duquel le vol atterrira ou du territoire duquel le vol décollera devrait recevoir les données API du routeur pour tous les vols pour lesquels les données PNR sont recueillies conformément à la directive (UE) 2016/681. Le routeur devrait identifier le vol et les UIP correspondantes en utilisant les informations contenues dans le code repère du dossier passager, un élément de données commun aux ensembles de données API et aux ensembles de données PNR qui permet le traitement conjoint des données API et des données PNR par les UIP.

(28)

En ce qui concerne les vols intra-UE, conformément à la jurisprudence de la CJUE, afin d’éviter de porter indûment atteinte aux droits fondamentaux des passagers concernés tels qu’ils sont protégés par la Charte et de garantir le respect des exigences du droit de l’Union en matière de libre circulation des personnes et de suppression des contrôles aux frontières intérieures, il convient de prévoir une approche sélective, Compte tenu de l’importance d’assurer que les données API puissent être traitées conjointement avec les données PNR, cette approche devrait être alignée sur celle de la directive (UE) 2016/681. Pour ces raisons, les données API relatives à ces vols ne devraient être transmises du routeur aux UIP concernées que lorsque les États membres ont sélectionné les vols concernés en application de l’article 2 de la directive (UE) 2016/681 et selon l’approche sélective prévue dans le présent règlement. Les États membres ne devraient pouvoir appliquer la directive (UE) 2016/681 à tous les vols intra-UE à l’arrivée sur leur territoire ou au départ de leur territoire que dans les situations où il existe une menace terroriste réelle et actuelle ou prévisible et sur la base d’une décision fondée sur une évaluation de la menace, limitée dans le temps à ce qui est strictement nécessaire et susceptible de faire l’objet d’un réexamen efficace. Dans d’autres situations, une approche sélective devrait être prévue. Comme l’a rappelé la CJUE, la sélection implique que les États membres ciblent les obligations en question uniquement, entre autres, sur certaines liaisons, certains schémas de voyage ou certains aéroports, sous réserve du réexamen régulier de cette sélection. En outre, la sélection devrait être fondée sur une évaluation objective, dûment motivée et non discriminatoire, qui tienne uniquement compte de critères qui sont pertinents pour la prévention et la détection des infractions terroristes et des formes graves de criminalité présentant un lien objectif, y compris un lien indirect, avec le transport aérien de passagers, ainsi que pour les enquêtes et les poursuites en la matière. Les États membres devraient conserver tous les documents pertinents relatifs à l’évaluation afin de permettre un contrôle approprié et devraient réexaminer leur évaluation régulièrement et au moins tous les douze mois, conformément à l’article 13, paragraphe 7, du présent règlement.

(29)

Afin de permettre l’application de l’approche sélective au titre du présent règlement aux vols intra-UE, les États membres devraient être tenus d’établir des listes des vols ou des liaisons qu’ils ont sélectionnés et de les introduire dans le routeur, de sorte que l’eu-LISA puisse veiller à ce que seules les données API pour ces vols ou liaisons soient transmises du routeur aux UIP concernées et à ce que les données API relatives aux autres vols intra-UE soient immédiatement et définitivement supprimées.

(30)

Pour une meilleure cohésion entre les approches sélectives adoptées par les différents États membres, la Commission devrait faciliter un échange de vues régulier sur le choix des critères de sélection, y compris le partage de bonnes pratiques, ainsi que, sur une base volontaire, l’échange d’informations sur les vols sélectionnés.

(31)

Afin de ne pas compromettre l’efficacité du système qui repose sur la collecte et le transfert de données API, dans le cadre du présent règlement, et de données PNR, dans le cadre du système établi par la directive (UE) 2016/681, aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière, notamment en créant un risque de contournement, les informations sur les vols intra-UE qui ont été sélectionnés par les États membres devraient être traitées de manière confidentielle. Pour cette raison, ces informations ne devraient pas être partagées avec les transporteurs aériens, lesquels devraient donc être tenus de recueillir des données API sur tous les vols couverts par le présent règlement, y compris tous les vols intra-UE, puis de les transférer au routeur, où la sélection nécessaire devrait être mise en œuvre. En outre, la collecte de données API sur tous les vols intra-UE permet d’éviter que les passagers sachent quelles données API liées aux vols intra-UE sélectionnés, et donc également quelles données PNR, sont transmises aux UIP conformément à l’évaluation des États membres. Cette approche garantit également que toute modification de cette sélection peut être mise en œuvre rapidement et efficacement, sans imposer de charges économiques et opérationnelles indues aux transporteurs aériens.

(32)

Le présent règlement ne permet pas la collecte et le transfert de données API sur les vols intra-UE aux fins de la lutte contre l’immigration illégale, conformément au droit de l’Union et à la jurisprudence de la CJUE.

(33)

Afin de garantir le respect du droit fondamental à la protection des données à caractère personnel, le présent règlement devrait identifier le responsable du traitement et le sous-traitant et établir des règles en matière d’audit. En vue d’assurer un contrôle efficace, de garantir une protection adéquate des données à caractère personnel et de réduire au minimum les risques pour la sécurité, il convient également de prévoir des règles relatives à l’enregistrement des données, à la sécurité du traitement et à l’autocontrôle. Lorsqu’elles concernent le traitement de données à caractère personnel, ces dispositions devraient être conformes aux actes juridiques généralement applicables de l’Union relatifs à la protection des données à caractère personnel, en particulier les règlements (UE) 2016/679 (14) et (UE) 2018/1725 (15) du Parlement européen et du Conseil.

(34)

Sans préjudice des règles plus spécifiques fixées dans le présent règlement pour le traitement des données à caractère personnel, le règlement (UE) 2016/679 devrait s’appliquer au traitement des données à caractère personnel par les transporteurs aériens au titre du présent règlement. La directive (UE) 2016/680 du Parlement européen et du Conseil (16) devrait s’appliquer au traitement des données à caractère personnel effectué, au titre du présent règlement, par les autorités compétentes nationales, telles qu’elles sont définies dans ladite directive, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris de protection contre des menaces pour la sécurité publique et de prévention de telles menaces. Le règlement (UE) 2018/1725 devrait s’appliquer au traitement des données à caractère personnel par l’eu-LISA lorsqu’elle exerce ses responsabilités au titre du présent règlement.

(35)

Eu égard au droit des passagers d’être informés du traitement de leurs données à caractère personnel, les États membres devraient veiller à ce que les passagers reçoivent, au moment de la réservation et au moment de l’enregistrement, des informations précises, aisément accessibles et faciles à comprendre, sur la collecte des données API, le transfert de telles données à l’UIP et leurs droits en tant que personnes concernées.

(36)

Les audits sur la protection des données à caractère personnel dont la responsabilité incombe aux États membres devraient être réalisés par les autorités de contrôle visées à l’article 41 de la directive (UE) 2016/680 ou par un organisme d’audit chargé de cette tâche par l’autorité de contrôle.

(37)

Les finalités des opérations de traitement au titre du présent règlement, à savoir la transmission des données API par les transporteurs aériens par l’intermédiaire du routeur aux UIP des États membres, sont d’aider ces autorités à s’acquitter de leurs obligations et de leurs tâches conformément à la directive (UE) 2016/681. Par conséquent, les États membres devraient désigner des autorités pour être les responsables du traitement des données dans le routeur, de la transmission des données du routeur à l’UIP et du traitement ultérieur de ces données conformément à la directive (UE) 2016/681. Les États membres devraient communiquer le nom de ces autorités à la Commission et à l’eu-LISA. Pour le traitement des données à caractère personnel dans le routeur, les États membres devraient être les responsables conjoints du traitement conformément à l’article 21 de la directive (UE) 2016/680. Les transporteurs aériens, quant à eux, devraient être des responsables du traitement distincts pour ce qui est du traitement des données API constituant des données à caractère personnel au titre du présent règlement. Sur cette base, tant les transporteurs aériens que les UIP devraient être des responsables du traitement distincts en ce qui concerne les opérations de traitement des données API au titre du présent règlement. L’eu-LISA étant responsable de la conception, du développement, de l’hébergement et de la gestion technique du routeur, elle devrait être le sous-traitant pour ce qui est du traitement des données API constituant des données à caractère personnel par l’intermédiaire du routeur, y compris la transmission des données du routeur aux UIP et la conservation de ces données sur le routeur, dans la mesure où cette conservation est nécessaire à des fins techniques.

(38)

Le routeur qui doit être mis en place et exploité au titre du présent règlement et du règlement (UE) 2025/12 devrait réduire et simplifier les connexions techniques nécessaires au transfert des données API en vertu du présent règlement, en les limitant à une connexion unique par transporteur aérien et par UIP. Par conséquent, le présent règlement devrait prévoir l’obligation que tant les UIP que les transporteurs aériens ont l’obligation d’établir une telle connexion avec le routeur et de réaliser l’intégration requise à celui-ci, de manière à garantir le bon fonctionnement du système de transfert des données API mis en place par le présent règlement. La conception et l’élaboration du routeur par l’eu-LISA devraient permettre, en définissant toutes les normes et exigences techniques pertinentes, de connecter et d’intégrer de façon efficace et efficiente les systèmes et infrastructures des transporteurs aériens. Afin d’assurer le bon fonctionnement du système mis en place par le présent règlement, il y a lieu de prévoir des règles détaillées. Lors de la conception et du développement du routeur, l’eu-LISA devrait veiller à ce que les données API et les autres données PNR transférées par les transporteurs aériens et transmises aux UIP soient chiffrées pendant le transit.

(39)

Compte tenu des intérêts de l’Union en jeu, tous les coûts exposés par l’eu-LISA pour l’exécution des tâches qui lui incombent au titre du présent règlement en ce qui concerne le routeur devraient être à la charge du budget de l’Union, y compris la conception et le développement du routeur, l’hébergement et la gestion technique du routeur, ainsi que la structure de gouvernance de l’eu-LISA pour soutenir la conception, le développement, l’hébergement et la gestion technique du routeur. Il pourrait en être de même pour les coûts exposés par les États membres en ce qui concerne leurs connexions au routeur et leur intégration à celui-ci, ainsi que leur maintenance, comme l’exige le présent règlement, conformément au droit de l’Union applicable. Il importe que le budget de l’Union apporte un soutien financier approprié aux États membres en ce qui concerne ces coûts. À cette fin, les besoins financiers des États membres devraient être pris en charge par le budget général de l’Union, conformément aux règles d’éligibilité et aux taux de cofinancement fixés par les actes juridiques pertinents de l’Union. La contribution annuelle de l’Union allouée à l’eu-LISA devrait couvrir les besoins liés à l’hébergement et à la gestion technique du routeur sur la base d’une évaluation effectuée par l’eu-LISA. Le budget de l’Union devrait également couvrir l’appui, tel que la formation, apporté par l’eu-LISA aux transporteurs aériens et aux UIP afin de permettre un transfert et une transmission efficaces des données API par l’intermédiaire du routeur. Les coûts exposés par les autorités de contrôle nationales indépendantes liés aux tâches que leur confie le présent règlement devraient être à la charge des États membres concernés.

(40)

Conformément au règlement (UE) 2018/1726, les États membres peuvent confier à l’eu-LISA la tâche de faciliter la connectivité avec les transporteurs aériens afin d’aider les États membres à mettre en œuvre la directive (UE) 2016/681, notamment en recueillant et en transférant des données PNR par l’intermédiaire d’un routeur. À cette fin, et pour des raisons de rentabilité et d’efficience tant pour les États membres que pour les transporteurs aériens, le présent règlement devrait exiger des transporteurs aériens qu’ils utilisent le routeur pour transférer aux bases de données de leurs UIP respectives d’autres données PNR couvertes par la directive (UE) 2016/681, dans le cadre de mesures nationales mettant en œuvre la disposition de ladite directive concernant l’obligation qui incombe aux États membres de veiller à ce que les transporteurs aériens transfèrent, par la «méthode push», les données PNR aux UIP concernées.

(41)

Afin de garantir que les données en question sont traitées de manière licite, sécurisée, efficace et rapide, les règles établies par le présent règlement en ce qui concerne le routeur et la transmission des données API du routeur aux UIP devraient également s’appliquer en conséquence aux autres données PNR. Ces règles comprennent également les obligations prévues par le présent règlement en ce qui concerne le transfert et la transmission de données relatives aux vols intra-UE, conformément à la jurisprudence de la CJUE, ainsi qu’en ce qui concerne les connexions des transporteurs aériens et de l’UIP au routeur. En ce qui concerne les règles relatives au moment des transferts, aux protocoles de transmission et aux formats de données dans lesquels les messages PNR doivent être transférés au routeur, les dispositions pertinentes de la directive (UE) 2016/681 s’appliquent.

(42)

Il convient de préciser que l’utilisation du routeur en ce qui concerne d’autres données PNR n’affecte que la manière dont ces données sont transférées et transmises aux bases de données des UIP des États membres concernés. Les obligations du présent règlement en ce qui concerne la collecte des données API ne s’appliquent pas à toutes ces autres données PNR. Cette collecte devrait plutôt continuer à être régie uniquement par la directive (UE) 2016/681, uniquement dans la mesure où les transporteurs aériens ont déjà recueilli ces données dans le cours normal de leurs activités au sens de la disposition pertinente de ladite directive. En outre, comme c’est le cas pour les données API recueillies par les transporteurs aériens et transférées aux UIP conformément au présent règlement, les règles de ladite directive en ce qui concerne les questions qui ne sont pas spécifiquement couvertes par le présent règlement, en particulier les règles relatives au traitement ultérieur d’autres données PNR reçues par les UIP, devraient rester inchangées. Dès lors, ces règles continuent de s’appliquer à l’égard de ces données.

(43)

Il ne peut être exclu que, en raison de circonstances exceptionnelles et malgré toutes les mesures raisonnables prises conformément au présent règlement, l’infrastructure centrale ou l’un des composants techniques du routeur, ou les infrastructures de communication reliant les UIP et les transporteurs aériens au routeur ne fonctionnent pas correctement, entraînant l’impossibilité technique pour les transporteurs aériens de transférer les données API ou pour les UIP de les recevoir. Compte tenu de l’indisponibilité du routeur et du fait qu’il ne sera, en général, pas raisonnablement possible pour les transporteurs aériens de transférer les données API concernées par la défaillance de manière licite, sécurisée, efficace et rapide par d’autres moyens, l’obligation pour les transporteurs aériens de transférer ces données API au routeur devrait cesser de s’appliquer aussi longtemps que l’impossibilité technique persiste. Toutefois, afin de garantir la disponibilité des données API nécessaires à la prévention et à la détection des infractions terroristes et des formes graves de criminalité, ainsi qu’aux enquêtes et aux poursuites en la matière, les transporteurs aériens devraient continuer à recueillir et à conserver les données API afin qu’elles puissent être transférées dès que l’impossibilité technique aura été résolue. Afin de réduire au minimum la durée et les conséquences négatives de toute impossibilité technique, les parties concernées devraient en pareil cas s’informer mutuellement sans tarder et prendre immédiatement toutes les mesures nécessaires pour remédier à l’impossibilité technique. Cette modalité devrait être sans préjudice des obligations qui incombent à toutes les parties concernées, au titre du présent règlement, de garantir le bon fonctionnement du routeur et de leurs systèmes et infrastructures respectifs, ainsi que du fait que les transporteurs aériens sont soumis à des sanctions s’ils ne respectent pas ces obligations, y compris lorsqu’ils cherchent à se prévaloir de cette modalité dans des cas où cela ne se justifie pas. Afin de prévenir de tels abus et de faciliter le contrôle et, le cas échéant, l’imposition de sanctions, les transporteurs aériens qui se prévalent de cette modalité par suite de la défaillance de leur propre système et de leur propre infrastructure devraient en rendre compte à l’autorité de surveillance compétente.

(44)

Lorsque les transporteurs aériens maintiennent des connexions directes avec des UIP pour le transfert des données API, ces connexions peuvent constituer des moyens appropriés, garantissant le niveau nécessaire de sécurité des données, pour transférer les données API directement aux UIP en cas d’impossibilité technique d’utiliser le routeur. Les UIP devraient pouvoir, dans les cas exceptionnels d’impossibilité technique d’utiliser le routeur, demander aux transporteurs aériens d’utiliser de tels moyens appropriés, ce qui n’implique pas l’obligation pour les transporteurs aériens de maintenir ou d’introduire de telles connexions directes ou tout autre moyen approprié, garantissant le niveau nécessaire de sécurité des données, pour transférer les données API directement aux UIP. Le transfert exceptionnel de données API par tout autre moyen approprié, tel que le courrier électronique chiffré ou un portail internet sécurisé, et à l’exclusion de l’utilisation de formats électroniques non standard, devrait garantir le niveau nécessaire de sécurité, de qualité et de protection des données. Les données API reçues par les UIP par l’intermédiaire de ces autres moyens appropriés devraient faire l’objet d’un traitement ultérieur conformément aux règles et aux garanties en matière de protection des données énoncées dans la directive (UE) 2016/681. À la suite de la notification de l’eu-LISA indiquant qu’il a été remédié à l’impossibilité technique, et lorsqu’il est confirmé que la transmission des données API à l’UIP par l’intermédiaire du routeur est achevée, l’UIP devrait supprimer immédiatement les données API qu’elle a reçues précédemment par tout autre moyen approprié. Cette suppression ne devrait pas avoir d’incidence sur des cas spécifiques dans lesquels les données API que les UIP ont reçues par tout autre moyen approprié ont entre-temps fait l’objet d’un traitement ultérieur conformément à la directive (UE) 2016/681 aux fins spécifiques de la prévention et de la détection des infractions terroristes ou des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière.

(45)

Afin de garantir l’application effective des règles du présent règlement par les transporteurs aériens, il convient de prévoir la désignation et l’habilitation d’autorités nationales en qualité d’autorités nationales de contrôle des API chargées de contrôler l’application de ces règles. Les États membres peuvent désigner leurs UIP en qualité d’autorités nationales de contrôle des API. Les dispositions du présent règlement relatives à ce contrôle, y compris en ce qui concerne l’imposition de sanctions si nécessaire, ne devraient pas porter atteinte aux missions et pouvoirs des autorités de contrôle instituées conformément au règlement (UE) 2016/679 et à la directive (UE) 2016/680, y compris en ce qui concerne le traitement des données à caractère personnel au titre du présent règlement.

(46)

Il convient que les États membres prévoient des sanctions effectives, proportionnées et dissuasives, tant financières que non financières, à l’encontre des transporteurs aériens qui ne respectent pas les obligations qui leur incombent en vertu du présent règlement, y compris en matière de collecte de données API par des moyens automatisés et le transfert des données conformément aux délais, formats et protocoles requis. En particulier, les États membres devraient veiller à ce qu’un manquement récurrent de la part des transporteurs aériens, en qualité de personnes morales, à leur obligation de transférer toute donnée API au routeur conformément au présent règlement, fasse l’objet de sanctions financières proportionnées pouvant atteindre jusqu’à 2 % du chiffre d’affaires mondial du transporteur aérien pour l’exercice précédent. En outre, les États membres devraient pouvoir appliquer des sanctions, y compris des sanctions financières, aux transporteurs aériens en présence d’autres formes de non-respect des obligations découlant du présent règlement.

(47)

Lorsqu’ils prévoient des règles sur les sanctions applicables aux transporteurs aériens en vertu du présent règlement, les États membres pourraient tenir compte de la faisabilité technique et opérationnelle du fait de garantir l’exactitude totale des données. En outre, lorsque des sanctions sont imposées, leur application et leur valeur devraient être établies. Les autorités nationales de contrôle des API pourraient tenir compte des mesures prises par le transporteur aérien pour atténuer le problème ainsi que de son niveau de coopération avec les autorités nationales.

(48)

Étant donné que le routeur devrait être conçu, développé, hébergé et géré sur le plan technique par l’eu-LISA, il est nécessaire de modifier le règlement (UE) 2018/1726 en ajoutant cette tâche aux tâches de l’eu-LISA. Afin de conserver les rapports et les statistiques du routeur dans le répertoire central des rapports et statistiques (CRRS) créé par le règlement (UE) 2019/818 du Parlement européen et du Conseil (17), il est nécessaire de modifier ledit règlement. Afin de soutenir l’exécution du présent règlement par l’autorité nationale de contrôle des API, il est nécessaire que les modifications du règlement (UE) 2019/818 comprennent des dispositions sur les statistiques indiquant si les données API sont exactes et complètes, par exemple en indiquant si les données ont été recueillies par des moyens automatisés. Il importe également de recueillir des statistiques fiables et utiles concernant la mise en œuvre du présent règlement afin de soutenir ses objectifs et d’étayer les évaluations prévues par le présent règlement. À la demande de la Commission, l’eu-LISA devrait lui fournir des statistiques sur des aspects spécifiques ayant trait à la mise en œuvre du présent règlement, tels que des statistiques agrégées sur la transmission des données API aux UIP. Ces statistiques ne devraient contenir aucune donnée à caractère personnel. Par conséquent, le CRRS ne devrait fournir de statistiques basées sur des données API que pour la mise en œuvre et le contrôle efficace de l’application du présent règlement. Les données que le routeur transmet automatiquement au CRRS à cette fin ne devraient pas permettre d’identifier les passagers concernés.

(49)

Afin d’accroître la clarté et la sécurité juridique, de contribuer à garantir la qualité des données, l’utilisation responsable des moyens automatisés de collecte des données API lisibles par machine au titre du présent règlement et la collecte manuelle de données API dans des circonstances exceptionnelles et pendant la période transitoire, afin de clarifier les exigences techniques applicables aux transporteurs aériens et nécessaires pour veiller à ce que les données API qu’ils ont recueillies au titre du présent règlement soient transférées au routeur de manière sécurisée, efficace et rapide et de sorte à ne pas influer plus que nécessaire sur le voyage des passagers et sur les transporteurs aériens, et afin de garantir que les données qui sont inexactes, incomplètes ou qui ne sont plus à jour soient rectifiées, complétées ou mises à jour, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne afin de mettre un terme à la période transitoire de collecte manuelle des données API; d’adopter des mesures relatives aux exigences techniques et aux règles opérationnelles auxquelles les transporteurs aériens devraient se conformer en ce qui concerne l’utilisation de moyens automatisés pour la collecte de données API lisibles par machine au titre du présent règlement et pour la collecte manuelle de données API dans des circonstances exceptionnelles et pendant la période transitoire, y compris les exigences en matière de sécurité des données; de fixer des règles détaillées concernant les protocoles communs et les formats de données reconnus à utiliser pour les transferts chiffrés de données API vers le routeur, y compris les exigences en matière de sécurité des données; et de fixer des règles détaillées pour ce qui est de rectifier, de compléter et de mettre à jour les données API. Il importe particulièrement que la Commission procède aux consultations appropriées avec les parties prenantes concernées, dont les transporteurs aériens, durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (18). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués. Compte tenu de l’état des connaissances, ces exigences techniques et ces règles opérationnelles pourraient évoluer au fil du temps.

(50)

Afin d’assurer des conditions uniformes d’exécution du présent règlement, à savoir en ce qui concerne la mise en service du routeur, les règles techniques et procédurales applicables aux vérifications des données et aux notifications, les règles techniques et procédurales applicables à la transmission des données API du routeur aux UIP de manière à garantir que la transmission est sécurisée, efficace et rapide et qu’elle n’influe pas plus que nécessaire sur le voyage des passagers et sur les transporteurs aériens, ainsi que les connexions des UIP au routeur et leur intégration à celui-ci, et afin de préciser les responsabilités des États membres en leur qualité de responsables conjoints du traitement, notamment en matière d’identification et de gestion des incidents de sécurité, dont les violations de données à caractère personnel, et la relation entre les responsables conjoints du traitement et l’eu-LISA en tant que sous-traitant, y compris l’assistance que l’eu-LISA fournit aux responsables du traitement au moyen de mesures techniques et opérationnelles adéquates, dans toute la mesure du possible, pour que le responsable du traitement s’acquitte de ses obligations pour ce qui est de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (19).

(51)

Toutes les parties intéressées, et en particulier les transporteurs aériens et les UIP, devraient disposer de suffisamment de temps pour procéder aux préparatifs nécessaires afin d’être en mesure de satisfaire à leurs obligations respectives au titre du présent règlement, compte tenu du fait que certains de ces préparatifs, tels que ceux concernant les obligations de connexion au routeur et d’intégration à celui-ci, ne peuvent être finalisés qu’une fois que les phases de conception et de développement du routeur auront été achevées et que le routeur aura été mis en service. Par conséquent, le présent règlement ne devrait s’appliquer qu’à partir d’une date appropriée postérieure à la date de mise en service du routeur, telle qu’elle est spécifiée par la Commission conformément au présent règlement et au règlement (UE) 2025/12. Il devrait toutefois être possible pour la Commission d’adopter des actes délégués et d’exécution au titre du présent règlement déjà avant cette date, de manière que le système mis en place par le présent règlement soit opérationnel dans les meilleurs délais.

(52)

Les phases de conception et de développement du routeur mis en place au titre du présent règlement et du règlement (UE) 2025/12 devraient débuter et s’achever dès que possible afin que le routeur puisse être mis en service le plus tôt possible, ce qui nécessite également l’adoption des actes d’exécution pertinents prévus par le présent règlement. Pour garantir le déroulement efficace et sans heurts de ces phases, il convient d’établir un conseil de gestion du programme spécifique, chargé de contrôler l’eu-LISA pour ce qui est de l’accomplissement de ses tâches au cours de ces phases. Il devrait cesser d’exister deux ans après la mise en service du routeur. En outre, il convient d’instituer un groupe consultatif spécifique, le groupe consultatif sur les API-PNR, conformément au règlement (UE) 2018/1726, dans le but de fournir une expertise à l’eu-LISA et au conseil de gestion du programme concernant les phases de conception et de développement du routeur, ainsi qu’à l’eu-LISA concernant l’hébergement et la gestion du routeur. Le conseil de gestion du programme et le groupe consultatif sur les API-PNR devraient être établis et fonctionner sur le modèle des conseils de gestion de programmes et des groupes consultatifs existants.

(53)

La clarification prévue par le présent règlement en ce qui concerne l’application des spécifications relatives à l’utilisation de moyens automatisés dans le cadre de l’application de la directive 2004/82/CE devrait également être apportée sans tarder. Par conséquent, les dispositions relatives à ces questions devraient s’appliquer à compter de la date d’entrée en vigueur du présent règlement. En outre, afin de permettre l’utilisation volontaire du routeur dès que possible, les dispositions relatives à cette utilisation, ainsi que certaines autres dispositions nécessaires pour garantir que cette utilisation a lieu de manière responsable, devraient s’appliquer le plus rapidement possible, c’est-à-dire à partir du moment où le routeur est mis en service.

(54)

Une structure de gouvernance unique devrait exister aux fins du présent règlement et du règlement (UE) 2025/12. Dans le but de permettre et de favoriser la communication entre les représentants des transporteurs aériens et les représentants des autorités des États membres compétentes en vertu du présent règlement et du règlement (UE) 2025/12 pour assurer la transmission des données API par le routeur, deux organismes spécifiques devraient être créés au plus tard deux ans après la mise en service du routeur. Les questions techniques liées à l’utilisation et au fonctionnement du routeur devraient être examinées au sein du groupe de contact API-PNR, au sein duquel des représentants de l’eu-LISA devraient également être présents. Les questions politiques telles que celles liées aux sanctions devraient être examinées au sein du groupe d’experts sur les API.

(55)

Le présent règlement devrait faire l’objet d’évaluations régulières afin d’en contrôler la bonne application. En particulier, la collecte de données API ne devrait pas se traduire par une mauvaise expérience de voyage pour les passagers en règle. Par conséquent, la Commission devrait inclure, dans ses rapports d’évaluation réguliers sur l’application du présent règlement, une évaluation de l’incidence du présent règlement sur l’expérience de voyage vécue par les passagers en règle. L’évaluation devrait également inclure une évaluation de la qualité des données envoyées par le routeur ainsi que de la performance du routeur à l’égard des UIP.

(56)

Étant donné que le présent règlement nécessite des coûts d’ajustement et des coûts administratifs supplémentaires devant être supportés par les transporteurs aériens, la charge réglementaire globale pour le secteur de l’aviation devrait faire l’objet d’un suivi attentif. Dans ce contexte, le rapport évaluant le fonctionnement du présent règlement devrait apprécier dans quelle mesure les objectifs du présent règlement ont été atteints et quelle a été l’ampleur de ses répercussions sur la compétitivité du secteur.

(57)

Les objectifs du présent règlement, à savoir contribuer à la prévention et à la détection des infractions terroristes et des formes graves de criminalité, ainsi qu’aux enquêtes et aux poursuites en la matière, compte tenu de la dimension transnationale des infractions concernées et de la nécessité de coopérer sur une base transfrontière pour y faire face efficacement, ne peuvent pas être atteints de manière suffisante par les États membres individuellement, mais peuvent l’être mieux au niveau de l’Union. L’Union peut donc adopter des mesures conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(58)

Le présent règlement s’entend sans préjudice des compétences des États membres pour ce qui est du droit national concernant la sécurité nationale, pour autant que ce droit soit conforme au droit de l’Union.

(59)

Le présent règlement s’entend sans préjudice de la compétence des États membres de recueillir, en vertu de leur droit national, des données relatives aux passagers auprès de fournisseurs de services de transport autres que ceux spécifiés dans le présent règlement, pour autant que ce droit national soit conforme au droit de l’Union.

(60)

Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark ne participe pas à l’adoption du présent règlement et n’est pas lié par celui-ci ni soumis à son application.

(61)

Conformément à l’article 3 du protocole no 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, l’Irlande a notifié son souhait de participer à l’adoption et à l’application du présent règlement.

(62)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu un avis le 8 février 2023 (20),