Afin d'améliorer le contrôle aux frontières et de lutter contre l'immigration clandestine, le ministre de l'intérieur est autorisé à procéder à la mise en œuvre de traitements automatisés de données à caractère personnel, recueillies à l'occasion de déplacements internationaux en provenance ou à destination d'Etats n'appartenant pas à l'Union européenne, à l'exclusion des données relevant du I de l'article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
1° Figurant sur les cartes de débarquement et d'embarquement des passagers de transporteurs aériens ;
2° Collectées à partir de la bande de lecture optique des documents de voyage, de la carte nationale d'identité et des visas des passagers de transporteurs aériens, maritimes ou ferroviaires ;
3° Relatives aux passagers et enregistrées dans les systèmes de contrôle des départs lorsqu'elles sont détenues par les transporteurs aériens, maritimes ou ferroviaires.
Les traitements mentionnés au premier alinéa sont soumis aux dispositions de la loi n° 78-17 du 6 janvier 1978 précitée.

Les traitements mentionnés à l'article L. 232-1 peuvent également être mis en œuvre dans les mêmes conditions aux fins de prévenir et de réprimer des actes de terrorisme ainsi que des atteintes aux intérêts fondamentaux de la Nation. L'accès à ceux-ci est alors limité aux agents individuellement désignés et dûment habilités :

1° Des services de police et de gendarmerie nationales spécialement chargés de ces missions ;

2° Des services de police et de gendarmerie nationales ainsi que des douanes, chargés de la sûreté des transports internationaux ;

3° Des services de renseignement du ministère de la défense aux seules fins de la prévention des actes et atteintes mentionnés au premier alinéa.

Les traitements mentionnés aux articles L. 232-1 et L. 232-2 peuvent faire l'objet d'une interconnexion avec le fichier des personnes recherchées et le système d'information Schengen.

Pour la mise en œuvre des traitements mentionnés aux articles L. 232-1 et L. 232-2, les transporteurs aériens sont tenus de recueillir et de transmettre aux services du ministère de l'intérieur les données énumérées au 2 de l'article 3 de la directive 2004/82/ CE du Conseil du 29 avril 2004, concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers, et mentionnées au 3° de l'article L. 232-1.

Ils sont également tenus de communiquer aux services mentionnés à l'alinéa précédent les données du 3° de l'article L. 232-1 autres que celles mentionnées au même alinéa lorsqu'ils les détiennent.

Les obligations définies aux deux alinéas précédents sont applicables aux transporteurs ferroviaires.

Pour la mise en œuvre des traitements mentionnés aux articles L. 232-1 et L. 232-2, les transporteurs maritimes sont tenus de recueillir et de transmettre aux services du ministère de l'intérieur les données relatives aux passagers mentionnées au paragraphe 3.1.2 de l'annexe VI au règlement (UE) 2016/399 du Parlement européen et du Conseil du 9 mars 2016 concernant un code de l'Union relatif au régime de franchissement des frontières par les personnes (code frontières Schengen).

Ils sont également tenus de communiquer aux services mentionnés au quatrième alinéa du présent article les données mentionnées au 3° de l'article L. 232-1 autres que celles mentionnées au même quatrième alinéa lorsqu'ils les détiennent.

Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe les modalités de transmission des données mentionnées au 3° de l'article L. 232-1.

Est puni d'une amende d'un montant maximum de 50 000 euros pour chaque voyage le fait pour une entreprise de transport aérien, maritime ou ferroviaire de méconnaître les obligations fixées à l'article L. 232-4.
Le manquement est constaté par un procès-verbal établi par un fonctionnaire appartenant à l'un des corps dont la liste est définie par décret en Conseil d'Etat. Copie du procès-verbal est remise à l'entreprise de transport intéressée. Le manquement ainsi relevé donne lieu à une amende prononcée par l'autorité administrative compétente. L'amende est prononcée pour chaque voyage ayant donné lieu au manquement. Son montant est versé au Trésor public par l'entreprise de transport.
L'entreprise de transport a accès au dossier. Elle est mise à même de présenter ses observations écrites dans un délai d'un mois sur le projet de sanction. La décision de l'autorité administrative est susceptible d'un recours de pleine juridiction.
L'autorité administrative ne peut infliger d'amende à raison de faits remontant à plus d'un an.

Les transporteurs aériens, maritimes et ferroviaires ont obligation d'informer les personnes concernées par le traitement mis en œuvre au titre du 3° de l'article L. 232-1 conformément aux dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

I. - Pour les besoins de la prévention et de la constatation de certaines infractions, du rassemblement des preuves de ces infractions ainsi que de la recherche de leurs auteurs, le ministre de l'intérieur, le ministre de la défense, le ministre chargé des transports et le ministre chargé des douanes sont autorisés à mettre en œuvre un traitement automatisé de données à caractère personnel.

Les infractions mentionnées au premier alinéa du présent I sont les actes de terrorisme, les atteintes aux intérêts fondamentaux de la nation ainsi que les infractions mentionnées à l'annexe II de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, lorsqu'elles sont punies d'une peine privative de liberté d'une durée égale ou supérieure à trois ans d'emprisonnement ou d'une mesure de sûreté privative de liberté d'une durée égale ou supérieure à trois ans.

Sont exclues de ce traitement automatisé de données les données à caractère personnel susceptibles de révéler l'origine raciale ou ethnique d'une personne, ses convictions religieuses ou philosophiques, ses opinions politiques, son appartenance à un syndicat, ou les données qui concernent la santé ou la vie sexuelle de l'intéressé.

II. - Pour la mise en œuvre du traitement mentionné au I, les transporteurs aériens recueillent et transmettent les données d'enregistrement relatives aux passagers des déplacements à destination et en provenance du territoire national, à l'exception des déplacements reliant deux points de la France métropolitaine. Les données concernées sont celles mentionnées au premier alinéa de l'article L. 232-4 du présent code.

Les transporteurs aériens sont également tenus de communiquer les données relatives aux passagers enregistrées dans leurs systèmes de réservation.

En outre, les ministres mentionnés au I du présent article peuvent demander aux agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef de transmettre les données relatives aux passagers enregistrées dans leurs systèmes de réservation.

III. - Les transporteurs aériens et les agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef mentionnés au II informent les personnes concernées par le traitement mentionné au I.

IV. - Les données mentionnées au II ne peuvent être conservées que pour une durée maximale de cinq ans.

V. - En cas de méconnaissance des obligations fixées au présent article par une entreprise de transport aérien ou par une agence de voyage ou un opérateur de voyage ou de séjour affrétant tout ou partie d'un aéronef, l'amende et la procédure prévues à l'article L. 232-5 sont applicables.

VI. - Les modalités d'application du présent article sont fixées par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés. Ce décret détermine les services autorisés à interroger l'unité de gestion chargée de la collecte des données auprès des transporteurs aériens et des agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef, de leur conservation et de leur analyse, en précisant si cette autorisation est délivrée à des fins de prévention ou à des fins de répression.

I.-Pour les besoins de la prévention et de la constatation de certaines infractions, du rassemblement des preuves de ces infractions ainsi que de la recherche de leurs auteurs, le ministre de l'intérieur, le ministre de la défense, le ministre chargé des transports et le ministre chargé des douanes sont autorisés à mettre en œuvre un traitement automatisé de données à caractère personnel.

Les infractions mentionnées au premier alinéa du présent I sont les actes de terrorisme, les atteintes aux intérêts fondamentaux de la nation ainsi que les infractions mentionnées à l'article 694-32 du code de procédure pénale, punies d'une peine privative de liberté d'une durée égale ou supérieure à trois ans d'emprisonnement ou d'une mesure de sûreté privative de liberté d'une durée égale ou supérieure à trois ans, à l'exclusion de celles mentionnées aux 17°, 20°, 21°, 24° et 29° du même article 694-32.

Sont exclues de ce traitement automatisé de données les données à caractère personnel susceptibles de révéler l'origine raciale ou ethnique d'une personne, ses convictions religieuses ou philosophiques, ses opinions politiques, son appartenance à un syndicat, ou les données qui concernent la santé ou la vie sexuelle de l'intéressé.

II.-Pour la mise en œuvre du traitement mentionné au I du présent article, les exploitants de navire recueillent et transmettent les données d'enregistrement relatives aux passagers à destination et en provenance du territoire national voyageant à bord d'un navire à passagers faisant l'objet d'une certification :

1° Soit au sens du code international pour la sûreté des navires et des installations portuaires adopté à Londres le 12 décembre 2002 en application de la convention internationale de 1974 pour la sauvegarde de la vie humaine en mer, faite à Londres le 1er novembre 1974, modifiée ;

2° Soit en application du 2 de l'article 3 du règlement (CE) n° 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l'amélioration de la sûreté des navires et des installations portuaires ;

3° Soit en application du 3 de l'article 3 du règlement (CE) n° 725/2004 du 31 mars 2004 précité après décision du ministre chargé de la mer.

Les données concernées sont celles mentionnées au quatrième alinéa de l'article L. 232-4 du présent code.

Les exploitants de navire sont également tenus de communiquer les données relatives aux passagers enregistrés dans leurs systèmes de réservation, ainsi que celles relatives à l'embarquement de ces mêmes passagers.

En outre, les ministres mentionnés au I du présent article peuvent demander aux agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un navire de transmettre les données relatives aux passagers enregistrées dans leurs systèmes de réservation.

III.-Les exploitants de navire, les agences de voyage et les opérateurs de voyage ou de séjour affrétant tout ou partie d'un navire mentionnés au II informent les personnes concernées par le traitement mentionné au I.

IV.-Les données mentionnées au II ne peuvent être conservées que pour une durée maximale de cinq ans.

V.-En cas de méconnaissance des obligations fixées au présent article par une entreprise de transport maritime ou par une agence de voyage ou un opérateur de voyage ou de séjour affrétant tout ou partie d'un navire, l'amende et la procédure prévues à l'article L. 232-5 sont applicables.

VI.-Les modalités d'application du présent article sont fixées par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés. Ce décret détermine les services autorisés à interroger le traitement de données à caractère personnel mentionné au I, précise si cette autorisation est délivrée à des fins de prévention ou à des fins de répression et fixe les modalités de conservation et d'analyse des données mentionnées au II. Ces données ne peuvent être consultées de manière directe par les services susmentionnés.