Article L232-7-1 du Code de la sécurité intérieure

I.-Pour les besoins de la prévention et de la constatation de certaines infractions, du rassemblement des preuves de ces infractions ainsi que de la recherche de leurs auteurs, le ministre de l'intérieur, le ministre de la défense, le ministre chargé des transports et le ministre chargé des douanes sont autorisés à mettre en œuvre un traitement automatisé de données à caractère personnel.
Les infractions mentionnées au premier alinéa du présent I sont les actes de terrorisme, les atteintes aux intérêts fondamentaux de la nation ainsi que les infractions mentionnées à l'article 694-32 du code de procédure pénale, punies d'une peine privative de liberté d'une durée égale ou supérieure à trois ans d'emprisonnement ou d'une mesure de sûreté privative de liberté d'une durée égale ou supérieure à trois ans, à l'exclusion de celles mentionnées aux 17°, 20°, 21°, 24° et 29° du même article 694-32.
Sont exclues de ce traitement automatisé de données les données à caractère personnel susceptibles de révéler l'origine raciale ou ethnique d'une personne, ses convictions religieuses ou philosophiques, ses opinions politiques, son appartenance à un syndicat, ou les données qui concernent la santé ou la vie sexuelle de l'intéressé.
II.-Pour la mise en œuvre du traitement mentionné au I du présent article, les exploitants de navire recueillent et transmettent les données d'enregistrement relatives aux passagers à destination et en provenance du territoire national voyageant à bord d'un navire à passagers faisant l'objet d'une certification :
1° Soit au sens du code international pour la sûreté des navires et des installations portuaires adopté à Londres le 12 décembre 2002 en application de la convention internationale de 1974 pour la sauvegarde de la vie humaine en mer, faite à Londres le 1er novembre 1974, modifiée ;
2° Soit en application du 2 de l'article 3 du règlement (CE) n° 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l'amélioration de la sûreté des navires et des installations portuaires ;
3° Soit en application du 3 de l'article 3 du règlement (CE) n° 725/2004 du 31 mars 2004 précité après décision du ministre chargé de la mer.
Les données concernées sont celles mentionnées au quatrième alinéa de l'article L. 232-4 du présent code.
Les exploitants de navire sont également tenus de communiquer les données relatives aux passagers enregistrés dans leurs systèmes de réservation, ainsi que celles relatives à l'embarquement de ces mêmes passagers.
En outre, les ministres mentionnés au I du présent article peuvent demander aux agences de voyage et opérateurs de voyage ou de séjour affrétant tout ou partie d'un navire de transmettre les données relatives aux passagers enregistrées dans leurs systèmes de réservation.
III.-Les exploitants de navire, les agences de voyage et les opérateurs de voyage ou de séjour affrétant tout ou partie d'un navire mentionnés au II informent les personnes concernées par le traitement mentionné au I.
IV.-Les données mentionnées au II ne peuvent être conservées que pour une durée maximale de cinq ans.
V.-En cas de méconnaissance des obligations fixées au présent article par une entreprise de transport maritime ou par une agence de voyage ou un opérateur de voyage ou de séjour affrétant tout ou partie d'un navire, l'amende et la procédure prévues à l'article L. 232-5 sont applicables.
VI.-Les modalités d'application du présent article sont fixées par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés. Ce décret détermine les services autorisés à interroger le traitement de données à caractère personnel mentionné au I, précise si cette autorisation est délivrée à des fins de prévention ou à des fins de répression et fixe les modalités de conservation et d'analyse des données mentionnées au II. Ces données ne peuvent être consultées de manière directe par les services susmentionnés.