L’agence nationale des données de voyage (ANDV) est un service interministériel à compétence nationale rattaché au ministère de l’Intérieur et des Outre-mer, et placé auprès du directeur général de la Police nationale.

L’ANDV est chargée de la conception, de la mise en place et de l’amélioration des dispositifs de collecte et d’exploitation des données de voyage dans les transports aériens, maritimes et terrestres, au départ ou à destination de la France. Elle assure également la collecte des données, en vérifie la qualité et la fiabilité, et exerce à ce titre la fonction d’Unité Information passagers (UIP) telle que prévue par la Directive européenne 2016/681.

Chaque État membre de l’Union européenne est tenu de créer une Unité d’Information Passagers (UIP), en application de la Directive européenne 2016/681.

Une UIP est chargée :

• De la collecte, de la conservation et du traitement des données ainsi que du transfert des données ou des résultats du traitement aux autorités nationales compétentes ;
• Des échanges de données PNR et des résultats du traitement avec les autres États membres et Europol.

Une UIP assure ainsi l'interface entre les données relatives aux passagers aériens et les services opérationnels des Etats membres de l’UE.

L’UIP française a été créée par le décret du 22 décembre 2014, abrogé par le décret du 29 avril 2022. Depuis le 1er juillet 2022, ses fonctions sont assurées par l’agence nationale des données de voyage (ANDV).

La CNIL a été consultée dans le cadre de la mise en place du traitement des données API et PNR et a donné un avis favorable.

Le traitement des données API et PNR a été créé dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Les autorités compétentes ne peuvent soumettre une demande auprès de l’ANDV qu’à des fins de protection des intérêts fondamentaux de la nation, de prévention et détection des infractions terroristes, des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière. Les données API et PNR ne peuvent être traitées que dans les cas suivants :

• Pour effectuer une évaluation des passagers avant leur arrivée, sur la base de critères de risques préétablis et des bases de données pertinentes en matière de répression ;
• Pour les besoins d’enquêtes ou de poursuites spécifiques ;
• Pour les besoins de l’élaboration de critères d’évaluation des risques.

Les autorités compétentes n’ont pas d’accès direct au système API-PNR France et aux données qu’il contient. En effet, les services et les agents nominativement et spécialement habilités peuvent uniquement soumettre des requêtes auprès de l’ANDV, qui les valide ou les refuse après en avoir vérifié la conformité.

L’article L. 232-7-1 du code de sécurité intérieure précise que le système API-PNR France ne collecte ni ne traite aucune des données dites "sensibles", telles que définies dans l’article 8 de la Loi du 6 janvier 1978, c’est-à-dire « les données permettant de faire apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci ».

Actuellement, les données des transports aériens sont collectées et traitées dans le système API-PNR. Le décret de création de l’ANDV précise toutefois que l’agence est chargée de la mise en place, de l’amélioration des dispositifs de collecte et d’exploitation et de la collecte des données de voyage dans les transports aériens, maritimes et terrestres.

Les voyageurs doivent être informés par les compagnies aériennes de la collecte de leurs données dans le système API-PNR. Ils doivent ainsi trouver la mention suivante dans les supports électroniques, interfaces et formulaires utilisés pour la réservation de leur voyage :

« Conformément à l’article L.232-7 du code de sécurité intérieure, nous vous informons que les transporteurs aériens sont amenés à transmettre les données de réservation, d’enregistrement et d’embarquement de leurs passagers (PNR/API) à l’administration française, selon les modalités de traitement et pour les finalités fixées par le décret n° 2014-1095 du 26/09/2014, modifié par le décret n° 2018-714 du 03 aout 2018 ».

L’ANDV vérifie périodiquement que les compagnies aériennes se conforment à cette obligation.

Les voyageurs peuvent accéder à leurs données personnelles collectées dans le système API-PNR en contactant l'agence nationale des données de voyage à l’adresse mail suivante : andv-voyageur@interieur.gouv.fr.

Les voyageurs disposent d’un droit de rectification de leurs données personnelles collectées dans le système API-PNR. Celui-ci s’exerce auprès de l'agence nationale des données de voyage, en envoyant une demande à l’adresse mail suivante : andv-voyageur@interieur.gouv.fr.

Conformément à l’article L 232-4 du code de la sécurité intérieure, les transporteurs aériens ont l'obligation de fournir à l'administration française des renseignements sur les passagers des vols à destination et en provenance du territoire français, dans les conditions et limites fixées par la réglementation française et européenne.

Les compagnies aériennes qui ne sont pas raccordées au système API-PNR France sont invitées à contacter l’ANDV à l’adresse mail suivante : relations-compagnies@uip.pnr.gouv.fr.