LegalizeLoi du 1er août 2018 relative au traitement des données des dossiers passagers dans le cadre de la prévention et de la répression du terrorisme et de la criminalité grave et portant modification de la loi du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État
Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,
Notre Conseil d’État entendu ;
De l’assentiment de la Chambre des Députés ;
Vu la décision de la Chambre des Députés du 26 juillet 2018 et celle du Conseil d’État du 27 juillet 2018 portant qu’il n’y a pas lieu à second vote ;
Avons ordonné et ordonnons :
Chapitre 1er Dispositions générales
Art. 1er.
La présente loi règle le transfert, par les transporteurs aériens, des données des dossiers passagers et le traitement de ces données à des fins de prévention, de recherche, de constatation et de poursuite des infractions terroristes et des formes graves de criminalité.
Art. 2.
Pour l’application de la présente loi, on entend par :
« transporteur aérien » : toute entreprise de transport aérien possédant une licence d'exploitation en cours de validité ou l'équivalent lui permettant d'assurer le transport aérien de personnes ;
« passager » : toute personne, y compris une personne en correspondance ou en transit et à l'exception du personnel d'équipage, transportée ou devant être transportée par un aéronef avec le consentement du transporteur aérien, lequel se traduit par l'inscription de cette personne sur la liste des passagers ;
« dossier passager » : le dossier relatif aux conditions de voyage de chaque passager, qui contient les informations nécessaires pour permettre le traitement et le contrôle des réservations par les transporteurs aériens concernés qui assurent les réservations, pour chaque voyage réservé par une personne ou en son nom, que ce dossier figure dans des systèmes de réservation, des systèmes de contrôle des départs utilisés pour contrôler les passagers lors de l’embarquement ou des systèmes équivalents offrant les mêmes fonctionnalités ;
« système de réservation » : le système interne du transporteur aérien, dans lequel les données PNR sont recueillies aux fins du traitement des réservations ;
« système de contrôle des départs » : le système utilisé pour contrôler les passagers lors de l’embarquement ;
« données PNR » : les données contenues dans le dossier passager et énumérées à l’annexe I ;
« méthode push » : la méthode par laquelle les transporteurs aériens transfèrent les données PNR vers la base de données de l'Unité d’informations passagers telle que créée à l’article 3 ;
« infractions terroristes » : les infractions visées au Livre II, Titre 1ier, Chapitre III-1 du Code pénal ;
« formes graves de criminalité » : les infractions énumérées à l'annexe II qui sont passibles d’une peine privative de liberté d’une durée maximale d’au moins trois ans ;
« dépersonnaliser par le masquage d'éléments des données » : rendre invisibles pour un utilisateur les éléments des données qui pourraient servir à identifier directement la personne concernée ;
« services compétents » : les services visés à l’article 13.
Chapitre 2 Unité d’informations passagers
Art. 3.
Il est créé au sein de la Police grand-ducale une Unité d’informations passagers, ci-après désignée « UIP », qui est chargée :
de la collecte des données PNR transférées par les transporteurs aériens ainsi que de la conservation et du traitement de ces données ;
du transfert de ces données et des résultats de leur traitement aux services compétents ;
de l’échange de ces données et des résultats de leur traitement avec les unités d’informations passagers des autres États membres de l’Union européenne, avec Europol et avec les pays tiers.
Art. 4.
(1)
Le responsable de l’UIP a la qualité de responsable du traitement des données PNR.
Il est désigné parmi les membres de la catégorie de traitement A1 du cadre policier de la Police grand-ducale.
(2)
Outre le personnel de la Police grand-ducale, l’UIP peut comprendre du personnel de l’Administration des douanes et accises et du Service de renseignement de l’État. Chaque membre du personnel de l’UIP agit dans les limites des attributions légales de l’administration dont il relève.
Les membres du personnel de l’Administration des douanes et accises et du Service de renseignement de l’État sont désignés à l’UIP par une décision conjointe du ministre ayant la Police grand-ducale dans ses attributions et du ministre du ressort. Ils continuent de relever de l'autorité hiérarchique de leur chef d’administration et sont placés sous l’autorité fonctionnelle du responsable de l’UIP.
Chapitre 3 Transfert des données par les transporteurs aériens
Art. 5.
Sans préjudice des obligations imposées en vertu de la loi modifiée du 29 août 2008 sur la libre circulation des personnes et l’immigration, les transporteurs aériens transfèrent à l’UIP, par la méthode push, les données PNR de tous les passagers en provenance de, à destination de ou transitant par le Luxembourg pour autant qu’ils aient déjà recueilli de telles données dans le cours normal de leurs activités de transport aérien.
Lorsqu’il s’agit d’un vol en partage de code entre un ou plusieurs transporteurs aériens, l’obligation de transférer les données PNR incombe au transporteur aérien qui assure le vol.
Art. 6.
(1)
Les transporteurs aériens transfèrent les données PNR à l’UIP à chacune des échéances suivantes :
48 heures avant l’heure de départ programmée du vol ;
immédiatement après la clôture du vol, c'est-à-dire dès que les passagers ont embarqué à bord de l'aéronef prêt à partir et qu'ils ne peuvent plus embarquer ou débarquer.
Le transfert visé à l’alinéa 1er, point 2°, peut se limiter à une mise à jour du transfert visé à l’alinéa 1er, point 1°.
(2)
Lorsque l'accès à des données PNR est nécessaire pour répondre à une menace précise et réelle liée à des infractions terroristes ou à des formes graves de criminalité, l’UIP peut demander, au cas par cas, le transfert de données PNR en dehors des délais prévus au paragraphe 1er.
Art. 7.
(1)
Les données PNR sont transférées à l’UIP par voie électronique au moyen de protocoles communs et de formats de données reconnus, adoptés par la Commission européenne conformément à l’article 16, paragraphe 3, de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.
Les transporteurs aériens portent à la connaissance de l’UIP le protocole commun et le format de données utilisés pour leurs transferts.
(2)
En cas de défaillance technique, les données PNR peuvent être transférées par tout autre moyen approprié, pour autant que le même niveau de sécurité soit maintenu et que le droit de l’Union européenne en matière de protection des données soit pleinement respecté.
(3)
Dans l’hypothèse où un transporteur aérien ne conserve pas les données API énumérées à l’annexe I, point 18, par les mêmes moyens techniques que ceux utilisés pour d’autres données PNR, il transfère également ces données par la méthode « push » à l’UIP. Dans le cas d’un tel transfert, toutes les dispositions de la présente loi s’appliquent à ces données API.
Chapitre 4 Traitement des données PNR
Art. 8.
Le traitement de données PNR qui révèlent l'origine raciale ou ethnique d'une personne, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance à un syndicat, son état de santé, sa vie sexuelle ou son orientation sexuelle est interdit.
Lorsque les données PNR transférées par les transporteurs aériens comportent des informations telles que visées à l’alinéa 1er, l’UIP efface ces informations dès réception et de façon définitive.
Art. 9.
Lorsque les données PNR transférées par les transporteurs aériens comportent des données autres que celles énumérées à l’annexe I, l’UIP efface ces données supplémentaires dès réception et de façon définitive.
Art. 10.
(1)
L’UIP traite les données PNR en vue de réaliser une évaluation des passagers avant leur arrivée prévue sur le territoire national ou leur départ prévu du territoire national afin d’identifier les personnes pour lesquelles un examen plus approfondi par les services compétents et, le cas échéant, par Europol est requis compte tenu du fait qu’elles peuvent être impliquées dans une infraction terroriste ou une forme grave de criminalité.
(2)
Pour réaliser cette évaluation l’UIP peut comparer les données PNR :
aux traitements de données à caractère personnel mis en œuvre par les services compétents ou qui leur sont accessibles dans l’exercice de leurs missions ;
à des critères préétablis.
L’évaluation des passagers au regard de critères préétablis est réalisée de façon non discriminatoire. Les critères sont fixés et réexaminés à des intervalles réguliers par l’UIP en coopération avec les services compétents. Ils doivent être ciblés, proportionnés et spécifiques et ne sont en aucun cas fondés sur l'origine raciale ou ethnique d'une personne, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance à un syndicat, son état de santé, sa vie sexuelle ou son orientation sexuelle.
(3)
L’UIP réexamine individuellement, par des moyens non automatisés, toute concordance positive obtenue à la suite d’un traitement automatisé des données PNR effectué en vertu du présent article.
(4)
L’UIP transmet aux services compétents, au cas par cas, en vue d’un examen plus approfondi, les données PNR des personnes identifiées conformément au présent article ou le résultat du traitement de ces données.
(5)
Les conséquences de l’évaluation des passagers ne compromettent pas le droit d’entrée des personnes jouissant du droit de l’Union européenne à la libre circulation sur le territoire du Grand-Duché de Luxembourg tel que prévu par la loi modifiée du 29 août 2008 sur la libre circulation des personnes et l’immigration.
(6)
Lorsque les évaluations sont réalisées pour des vols entre le Grand-Duché de Luxembourg et un autre État membre de l’Union européenne auquel s’applique le règlement (UE) 2016/399 du Parlement européen et du Conseil du 9 mars 2016 concernant un code de l’Union relatif au régime de franchissement des frontières par les personnes (code frontières Schengen), les conséquences de ces évaluations doivent respecter ledit règlement.
Art. 11.
L’UIP traite les données PNR afin de mettre à jour ou de définir de nouveaux critères à utiliser pour les évaluations visées à l’article 10.
Art. 12.
L’UIP traite les données PNR aux fins de répondre aux demandes des services compétents, dûment motivées et fondées sur des motifs suffisants visant à ce que des données PNR leur soient communiquées et à ce que celles-ci fassent l’objet d’un traitement dans des cas spécifiques aux fins visées à l’article 1er, et visant à communiquer aux services compétents ou, le cas échéant, à Europol, le résultat de ce traitement.
Chapitre 5 Services compétents
Art. 13.
Sont habilités à demander à l’UIP ou à recevoir de celle-ci des données PNR ou le résultat du traitement de ces données, en vue de procéder à un examen approfondi de ces informations ou de prendre les mesures appropriées aux fins de la prévention et de la détection d’infractions terroristes ou des formes graves de criminalité, ainsi que des enquêtes et poursuites en la matière :
la Police grand-ducale ;
le Service de renseignement de l’État conformément à l’article 5, paragraphe 4, de la loi du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État ;
l’Administration des douanes et accises.
En recherchant les crimes et délits visés à l’article 2, points 8° et 9°, le procureur d’État peut, par une décision écrite et motivée, charger un officier de police judiciaire de requérir l’UIP afin de communiquer les données des passagers conformément à l’article 12.
Art. 14.
Les services compétents ne peuvent traiter les données PNR et le résultat du traitement de ces données que pour les finalités de la présente loi telles que définies à l’article 1er.
L’alinéa 1er est sans préjudice des compétences de la Police grand-ducale et de l’Administration des douanes et accises lorsque d'autres infractions ou indices d'autres infractions sont détectés à la suite de ce traitement.
Art. 15.
Les services compétents ne prennent aucune décision produisant des effets juridiques préjudiciables à une personne ou l'affectant de manière significative sur la seule base du traitement automatisé de données PNR.
Les décisions produisant des effets juridiques préjudiciables à une personne ou l'affectant de manière significative ne peuvent pas être fondées sur l’origine raciale ou ethnique d’une personne, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance à un syndicat, son état de santé, sa vie sexuelle ou son orientation sexuelle.
Chapitre 6 Échange d’informations entre les États membres de l’Union européenne
Art. 16.
Lorsqu’une personne est identifiée conformément à l’article 10, l’UIP communique toutes les données pertinentes et nécessaires ou le résultat du traitement de ces données aux UIP des autres États membres de l’Union européenne concernés.
Lorsque l’UIP est destinataire d’informations telles que visées à l’alinéa 1er de la part d’une autre UIP, elle transmet ces informations aux services compétents.
Art. 17.
(1)
L’UIP transmet, dès que possible, à l’UIP d’un autre État membre de l’Union européenne qui en fait la demande, les données PNR qui sont conservées dans sa base de données et qui n’ont pas encore été dépersonnalisées par masquage conformément à l’article 26, et, si nécessaire, le résultat de tout traitement de ces données, s’il a déjà été réalisé conformément à l’article 10.
La demande, dûment motivée, peut être fondée sur un quelconque élément de ces données ou sur une combinaison de tels éléments, selon ce que l'UIP requérante estime nécessaire dans un cas spécifique de prévention ou de détection d’infractions terroristes ou de formes graves de criminalité, ou d’enquêtes ou de poursuites en la matière.
Si les données demandées ont été dépersonnalisées par masquage conformément à l’article 26, l’UIP ne transmet l’intégralité des données PNR que lorsqu’il existe des motifs raisonnables de croire que le transfert est nécessaire aux fins visées à l’article 12 et si elle y est autorisée par le procureur général d’État ou son délégué.
Les dispositions du présent paragraphe ne portent pas atteinte aux dispositions tant internationales que nationales sur l’entraide judiciaire internationale en matière pénale.
(2)
Dans des cas d’urgence, les autorités compétentes des autres États membres, désignées conformément à l’article 7, paragraphe 1er , de la directive (UE) 2016/661 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière et figurant comme telles au Journal officiel de l’Union européenne, peuvent directement s’adresser à l’UIP pour obtenir communication de données PNR. Les dispositions du paragraphe 1er sont applicables.
(3)
À titre exceptionnel, lorsque l'accès à des données PNR est nécessaire pour répondre à une menace précise et réelle liée à des infractions terroristes ou à des formes graves de criminalité, l'UIP d'un État membre a le droit de demander à ce que l'UIP obtienne des données PNR conformément à l'article 6, paragraphe 2, et les communique à l'UIP requérante.
Art. 18.
L’UIP et les services compétents visés à l’article 13 peuvent demander aux UIP des autres États membres de l’Union européenne des données PNR ou les résultats du traitement de ces données.
Lorsqu’un service compétent demande directement des données PNR auprès de l’UIP d’un autre État membre de l’Union européenne, il transmet copie de sa demande à l’UIP.
Art. 19.
L’échange de données effectué en application du présent chapitre peut avoir lieu par l’intermédiaire de tous les canaux de coopération existant entre les services compétents des États membres de l’Union européenne.
La langue utilisée pour la demande et l’échange des données est celle applicable au canal utilisé.
Chapitre 7 Conditions d’accès aux données PNR par Europol
Art. 20.
(1)
La consultation de ce document ne remplace pas la lecture du texte officiel publié au Mémorial du Grand-Duché de Luxembourg. Nous déclinons toute responsabilité pour d'éventuelles inexactitudes résultant de la conversion de l'original dans ce format.