Etaamb.openjustice.be
Arrest
gepubliceerd op 06 maart 2020

Uittreksel uit arrest nr. 135/2019 van 17 oktober 2019 Rolnummer 6713 In zake : het beroep tot gehele of gedeeltelijke vernietiging van de wet van 25 december 2016 « betreffende de verwerking van passagiersgegevens », ingesteld door de vzw « Het Grondwettelijk Hof, samengesteld uit de voorzitters F. Daoût en A. Alen, en de rechters L. L(...)

bron
grondwettelijk hof
numac
2019205036
pub.
06/03/2020
prom.
--
staatsblad
https://www.ejustice.just.fgov.be/cgi/article_body(...)
Document Qrcode

Uittreksel uit arrest nr. 135/2019 van 17 oktober 2019 Rolnummer 6713 In zake : het beroep tot gehele of gedeeltelijke vernietiging van de wet van 25 december 2016 « betreffende de verwerking van passagiersgegevens », ingesteld door de vzw « Ligue des Droits de l'Homme ».

Het Grondwettelijk Hof, samengesteld uit de voorzitters F. Daoût en A. Alen, en de rechters L. Lavrysen, J.-P. Snappe, J.-P. Moerman, E. Derycke, T. Merckx-Van Goey, P. Nihoul, T. Giet, R. Leysen, J. Moerman en M. Pâques, bijgestaan door de griffier F. Meersschaut, onder voorzitterschap van voorzitter F. Daoût, wijst na beraad het volgende arrest : I. Onderwerp van het beroep en rechtspleging Bij verzoekschrift dat aan het Hof is toegezonden bij op 24 juli 2017 ter post aangetekende brief en ter griffie is ingekomen op 26 juli 2017, heeft de vzw « Ligue des Droits de l'Homme » (thans « Ligue des droits humains »), bijgestaan en vertegenwoordigd door Mr. C. Forget, advocaat bij de balie te Brussel, beroep tot gehele of gedeeltelijke (de artikelen 3, § 1, en 8, § 2, en hoofdstuk 11) vernietiging ingesteld van de wet van 25 december 2016 « betreffende de verwerking van passagiersgegevens » (bekendgemaakt in het Belgisch Staatsblad van 25 januari 2017). (...) II. In rechte (...) Ten aanzien van de bestreden wet en de context ervan B.1. Het beroep tot vernietiging, ingesteld door de vzw « Ligue des Droits de l'Homme » (thans « Ligue des droits humains »), is gericht tegen de wet van 25 december 2016 « betreffende de verwerking van passagiersgegevens » (hierna : de wet van 25 december 2016), de vervoerders en reisoperatoren de verplichting oplegt om de passagiersgegevens, de zogenoemde « PNR-gegevens » (Passenger Name Record) door te geven.

B.2.1. Overeenkomstig artikel 2 ervan, zet de wet van 25 december 2016 drie Europese richtlijnen om.

B.2.2. De wet van 25 december 2016 zet vooreerst de richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 « over het gebruik van persoonsgegevens van passagiers (« PNR-gegevens ») voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit » (hierna : de « PNR-richtlijn ») om.

De « PNR-richtlijn » voorziet in het verzamelen en doorgeven, door de luchtvaartmaatschappijen, van de persoonsgegevens van passagiers naar of vanuit derde landen om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen alsook te onderzoeken en te vervolgen. Die richtlijn is van toepassing op de verwerking van de « PNR-gegevens » betreffende de luchtvaart maar, overeenkomstig overweging 33 ervan, sluit zij voor de lidstaten niet de mogelijkheid uit om, krachtens hun nationaal recht, het « PNR-mechanisme » waarin zij voorziet uit te breiden tot andere vervoermiddelen of tot marktdeelnemers die geen luchtvaartmaatschappij zijn. Bovendien kan de « PNR-richtlijn », overeenkomstig artikel 2 ervan, ook worden toegepast op vluchten binnen de EU. B.2.3. De wet van 25 december 2016 zet eveneens de richtlijn 2004/82/EG van de Raad van 29 april 2004 « betreffende de verplichting voor vervoerders om passagiersgegevens door te geven » (hierna : de « API-richtlijn ») om.

Zij regelt dus het gebruik van passagiersgegevens voor de doelstellingen waarin de richtlijn 2004/82/EG voorziet, waarbij de inhoud van het koninklijk besluit van 11 december 2006 « betreffende de verplichting voor luchtvervoerders om passagiersgegevens door te geven » (hierna : het koninklijk besluit van 11 december 2006) wordt overgenomen.

B.2.4. De wet van 25 december 2016 zet ten slotte, gedeeltelijk, de richtlijn 2010/65/EU van het Europees Parlement en de Raad van 20 oktober 2010 « betreffende meldingsformaliteiten voor schepen die aankomen in en/of vertrekken uit havens van de lidstaten en tot intrekking van Richtlijn 2002/6/EG » om. Die richtlijn heeft tot doel de administratieve procedures die van toepassing zijn op het zeevervoer te vereenvoudigen en te harmoniseren door de algemene invoering van de elektronische overdracht van gegevens en door rationalisering van de meldingsformaliteiten (artikel 1, lid 1).

B.3.1. De wet van 25 december 2016 beoogt « een wettelijk kader te scheppen om de vervoerders van passagiers in verschillende internationale transportsectoren (luchtvervoer, treinverkeer, internationaal wegvervoer en maritiem transport), alsook reisoperatoren, te verplichten de gegevens van hun passagiers door te sturen naar een gegevensbank, beheerd door de FOD Binnenlandse Zaken » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, p. 6) : « De verwerking van de passagiersgegevens, het vergelijken ervan met databanken en het aftoetsen ervan aan vooraf bepaalde criteria zijn noodzakelijk om deze modi operandi te ontdekken, om nieuwe trends en fenomenen in kaart te brengen, maar ook om te bepalen welke passagiers aan een nader onderzoek dienen onderworpen te worden, aangezien zij, op basis van het resultaat van de verwerking, kunnen betrokken zijn bij een terroristisch misdrijf, bij vormen van ernstige criminaliteit, bij inbreuken op de openbare orde in het kader van gewelddadige radicalisering en bij activiteiten die de fundamentele belangen van de Staat kunnen bedreigen [...] Als omzetting van de Europese Richtlijn over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige misdrijven, houdt dit voorontwerp van wet maximaal rekening met alle vastgelegde bepalingen op Europees niveau. Dit is essentieel om een doeltreffende mechanisme voor de verwerking van passagiersgegevens op te zetten dat streeft naar een maximale interoperabiliteit met de passagiers informatie eenheden van de andere lidstaten. [...] De analyse van de passagiersgegevens zal uitsluitend worden toevertrouwd aan een Passagiersinformatie-eenheid (PIE), die wordt opgericht binnen de FOD Binnenlandse Zaken en onder meer, onder het functioneel toezicht van een leidend ambtenaar van de PIE zal worden samengesteld uit gedetacheerden van de politiediensten, de Veiligheid van de Staat, de Algemene Directie Inlichtingen en Veiligheid en de Douane (wat betreft de Douane is de verwerking van de passagiersgegevens noodzakelijk met het oog op het opsporen en vervolgen van fraude zoals voorzien in bijlage 2, punt 7 van Richtlijn 2016/681) » (ibid., pp. 5-6).

B.3.2. Het door de « PNR-richtlijn » ingevoerde systeem voor het verzamelen van gegevens vult het systeem voor het verzamelen van gegevens aan dat door de « API-richtlijn » werd gecreëerd, doordat « PNR-gegevens » ruimer zijn dan « API-gegevens » : « De API-gegevens (Advanced Passenger Information), zijn authentieke gegevens. Ze zijn afkomstig uit authentieke documenten (o.a. uit de identiteitskaarten) en zijn voldoende accuraat om een persoon te identificeren. Dit betreffen de gegevens die doorgegeven worden in het kader van de check-in en het instappen. Bij de bestrijding van terrorisme en ernstige criminaliteit is de informatie in de API-gegevens voldoende om bekende terroristen en criminelen met behulp van waarschuwingssystemen te identificeren.

De PNR-gegevens, zijnde de reservatiegegevens, bevatten meer gegevenselementen en zijn sneller beschikbaar dan API-gegevens. Deze gegevenselementen vormen een zeer belangrijk instrument voor het uitvoeren van risicobeoordelingen van personen en het leggen van verbanden tussen bekende en onbekende personen. Ook voor de gerichte opzoekingen bieden de PNR gegevens een zeer belangrijke meerwaarde » (ibid., p. 6-7).

B.3.3. De verplichting om passagiersgegevens door te sturen geldt « voor internationale vluchten, internationale hogesnelheidstreinen, geregeld internationaal busvervoer en maritiem transport zowel naar en vanuit de Europese Unie, als inkomend en uitgaand binnen de Europese Unie » (ibid., p. 7), krachtens de mogelijkheid waarin artikel 2 van de « PNR-richtlijn » voorziet.

De wettelijke verplichting om passagiersgegevens door te sturen geldt overigens niet alleen voor de door de « PNR-richtlijn » beoogde luchtvaartmaatschappijen, maar ook voor de touroperators, krachtens de door de « PNR-richtlijn » geboden mogelijkheid om die verplichting op te leggen aan marktdeelnemers die geen luchtvaartmaatschappij zijn (ibid., p. 8).

Ten aanzien van de omvang van het beroep B.4.1. Het Hof dient de omvang van het beroep tot vernietiging te bepalen door zich te baseren op de inhoud van het verzoekschrift.

Het Hof kan slechts uitdrukkelijk bestreden wetskrachtige bepalingen vernietigen waartegen middelen worden aangevoerd en, in voorkomend geval, bepalingen die niet worden bestreden maar die onlosmakelijk zijn verbonden met de bepalingen die moeten worden vernietigd.

B.4.2. Hoewel de verzoekende partij, met haar eerste middel, de vernietiging vordert van de volledige wet van 25 december 2016, blijkt uit de uiteenzetting van het middel dat de grieven enkel gericht zijn tegen de artikelen 3, § 2, 4, 9° en 10°, 7 tot 9, 12 tot 16, 18, 24 tot 27, 50 en 51 van de wet van 25 december 2016. Bijgevolg is het beroep tot vernietiging slechts in die mate ontvankelijk.

Het tweede middel, dat in ondergeschikte orde wordt geformuleerd, is gericht tegen de artikelen 3, § 1, 8, § 2, en tegen hoofdstuk 11, dat de artikelen 28 tot 31, van de wet van 25 december 2016 bevat.

B.4.3. Wanneer evenwel uit het nader onderzoek van de middelen zou blijken dat enkel bepaalde onderdelen van de bestreden bepalingen worden bekritiseerd, zal het onderzoek in voorkomend geval tot die onderdelen worden beperkt.

B.5. De bestreden artikelen bepalen : « HOOFDSTUK 2. - Toepassingsgebied

Art. 3.§ 1. Deze wet bepaalt de verplichtingen van de vervoerders en de reisoperatoren inzake de doorgifte van gegevens van passagiers van, naar en op doorreis over het nationaal grondgebied. § 2. De Koning bepaalt bij een in Ministerraad overlegd besluit, per vervoerssector en voor de reisoperatoren, de passagiersgegevens die moeten worden doorgestuurd en de nadere regels voor het doorsturen, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. HOOFDSTUK 3. - Definities

Art. 4.Voor de toepassing van deze wet en de uitvoeringsbesluiten ervan wordt verstaan onder : [...] 9° ' PNR ' : het bestand met de reisgegevens van iedere passagier, dat de in artikel 9 bedoelde informatie bevat, die de boekende en de deelnemende vervoerders en reisoperatoren nodig hebben om reserveringen te kunnen verwerken en controleren bij elke reis die door of namens iemand wordt geboekt;dit bestand kan zich bevinden in een reserveringssysteem, een vertrekcontrolesysteem (voor de controle van vertrekkende passagiers) of een soortgelijk systeem dat dezelfde functies vervult; 10° ' passagier ' : iedere persoon, met inbegrip van de transferpassagiers en transitpassagiers en met uitsluiting van de bemanningsleden, die wordt vervoerd of moet worden vervoerd door een vervoerder, met de toestemming van deze laatste, wat zich vertaalt door de inschrijving van deze persoon op de passagierslijst; [...] HOOFDSTUK 4. - Verplichtingen van de vervoerders en reisoperatoren [...]

Art. 7.§ 1. De vervoerders sturen de passagiersgegevens bedoeld in artikel 9, § 1, waarover zij beschikken, door en verzekeren zich ervan dat de passagiersgegevens bedoeld in artikel 9, § 1, 18°, waarover zij beschikken, volledig, juist en actueel zijn. Hiervoor controleren zij de overeenstemming tussen de reisdocumenten en de identiteit van de betrokken passagier. § 2. De reisoperatoren sturen de passagiersgegevens bedoeld in artikel 9, § 1, waarover zij beschikken, door en verzekeren zich ervan dat de passagiersgegevens bedoeld in artikel 9, § 1, 18°, waarover zij beschikken, volledig, juist en actueel zijn. Hiervoor nemen ze alle noodzakelijke maatregelen om de overeenstemming tussen de reisdocumenten en de identiteit van de betrokken passagier te controleren. § 3. De Koning bepaalt bij een in Ministerraad overlegd besluit, per vervoerssector en voor de reisoperatoren, de nadere regels met betrekking tot de verplichting bepaald in §§ 1 en 2. HOOFDSTUK 5. - Doelen van de gegevensverwerking

Art. 8.§ 1. De passagiersgegevens worden verwerkt met het oog op : 1° het opsporen en vervolgen, met inbegrip van de uitvoering van straffen of vrijheidsbeperkende maatregelen, met betrekking tot misdrijven bedoeld in artikel 90ter, § 2, 1°bis, 1°ter, 1°quater, 1°quinquies, 1°octies, 4°, 5°, 6°, 7°, 7°bis, 7°ter, 8°, 9°, 10°, 10°bis, 10°ter, 11°, 13°, 13° bis, 14°, 16°, 17°, 18°, 19° en § 3, van het Wetboek van Strafvordering;2° het opsporen en vervolgen, met inbegrip van de uitvoering van straffen of vrijheidsbeperkende maatregelen, met betrekking tot misdrijven bedoeld in de artikelen 196, voor wat betreft valsheid in authentieke en openbare geschriften, 198, 199, 199bis, 207, 213, 375 en 505 van het Strafwetboek;3° de preventie van ernstige inbreuken op de openbare veiligheid in het kader van gewelddadige radicalisering door het toezien op fenomenen en groeperingen overeenkomstig artikel 44/5, § 1, 2° en 3° en § 2, van de wet van 5 augustus 1992 op het politieambt;4° het toezien op activiteiten bedoeld in de artikelen 7, 1° en 3°/1, en 11, § 1, 1° tot 3° en 5°, van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst;5° het opsporen en vervolgen met betrekking tot de misdrijven bedoeld in artikel 220, § 2, van de algemene wet van van 18 juli 1977 inzake douane en accijnzen en artikel 45, derde lid, van de wet van 22 december 2009 betreffende de algemene regeling inzake accijnzen. § 2. Onder de voorwaarden bepaald in hoofdstuk 11, worden de passagiersgegevens eveneens verwerkt ter verbetering van de controles van personen aan de buitengrenzen en ter bestrijding van illegale immigratie. HOOFDSTUK 6. - Passagiersgegevens

Art. 9.§ 1. Wat de reservatiegegevens betreft, bevatten de passagiersgegevens maximaal : 1° de PNR-bestandslocatiecode;2° de datum van reservering en afgifte van het biljet;3° de geplande reisdata;4° de namen, voornamen en geboortedatum;5° het adres en de contactgegevens (telefoonnummer, e-mailadres);6° de betalingsinformatie, met inbegrip van het factureringsadres;7° de volledige reisroute voor de betrokken passagier;8° de informatie over de ' geregistreerde reizigers ', met name de reizigers die gebruikmaken van een loyauteitsprogramma voor frequent reizen;9° het reisbureau of de reisagent;10° de status van de reiziger, met inbegrip van de bevestigingen, check-in-status, no-show- of go-show-informatie;11° de aanwijzingen over de opgesplitste of opgedeelde PNR-informatie;12° de algemene opmerkingen, met inbegrip van alle beschikbare informatie over de niet-begeleide minderjarigen onder 18 jaar, zoals de naam en het geslacht van de minderjarige, zijn leeftijd, de taal/talen die hij spreekt, de naam en de contactgegevens van de voogd die de minderjarige begeleidt bij het vertrek en de aard van zijn relatie met de minderjarige, de naam en de contactgegevens van de voogd aanwezig bij de aankomst en de aard van zijn relatie met de minderjarige, de ambtenaar die bij het vertrek en de aankomst aanwezig is;13° de informatie betreffende de biljetuitgifte, waaronder het biljetnummer, de uitgiftedatum, de biljetten voor enkele reizen en de geautomatiseerde prijsnotering van de biljetten;14° het zitplaatsnummer en andere informatie over de zitplaats;15° de informatie over gezamenlijke vluchtnummers;16° alle bagage-informatie;17° het aantal en de namen van de andere reizigers in het PNR;18° alle voorafgaande passagiersgegevens (API-gegevens) die werden verzameld en worden opgesomd in § 2;19° alle vroegere wijzigingen van de onder 1° tot 18° opgesomde gegevens; § 2. Wat de gegevens van de check-in-status en het instappen betreft, zijn de voorafgaande gegevens bedoeld in § 1, 18°, de volgende : 1° soort reisdocument;2° nummer van het document;3° nationaliteit;4° land van afgifte van het document;5° vervaldatum van het document;6° familienaam, voornaam, geslacht, geboortedatum;7° vervoerder / reisoperator;8° nummer van het vervoer;9° datum van vertrek, datum van aankomst;10° plaats van vertrek, plaats van aankomst;11° tijdstip van vertrek, tijdstip van aankomst;12° totaal aantal vervoerde personen;13° zitplaatsnummer;14° PNR-bestandslocatiecode;15° aantal, gewicht en identificatie van de bagagestukken;16° grensdoorlaatpost van binnenkomst op het nationaal grondgebied. [...] HOOFDSTUK 7. - De Passagiersinformatie-eenheid

Art. 12.Binnen de Federale Overheidsdienst Binnenlandse Zaken wordt een Passagiersinformatie-eenheid opgericht.

Art. 13.§ 1. De PIE is belast met : 1° het verzamelen, het bewaren en het verwerken van de passagiersgegevens die door de vervoerders en reisoperatoren zijn doorgestuurd, evenals met het beheer van de passagiersgegevensbank;2° de uitwisseling met de PIE's van andere lidstaten van de Europese Unie, met Europol, en met derde landen van zowel de passagiersgegevens als de resultaten van hun verwerking, overeenkomstig hoofdstuk 12. § 2. Onverminderd andere wettelijke bepalingen, mag de PIE de gegevens die krachtens hoofdstuk 9 zijn bewaard, niet voor andere dan de in artikel 8 bedoelde doelen gebruiken.

Art. 14.§ 1. De PIE is samengesteld uit : 1° een leidend ambtenaar, bijgestaan door een ondersteunende dienst. Deze is verantwoordelijk voor : a) de organisatie en de werking van de PIE;b) het toezicht op de naleving door de vervoerders en de reisoperatoren van hun verplichtingen bepaald in hoofdstuk 4;c) het beheer en het gebruik van de passagiersgegevensbank;d) de verwerking van de passagiersgegevens;e) de naleving van de wettigheid en de regelmatigheid van de in hoofdstuk 10 bedoelde verwerkingen;f) de ondersteuning van de bevoegde diensten voor de uitoefening van hun bevoegdheden binnen de PIE.2° uit de volgende bevoegde diensten gedetacheerde leden : a) de politiediensten, bedoeld in de wet van 7 december 1998 tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus;b) de Veiligheid van de Staat, bedoeld in de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst;c) de Algemene Inlichtingen- en Veiligheidsdienst, bedoeld in de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst;d) de Administratie Onderzoek en Opsporing en de Administratie Toezicht, Controle en Vaststelling van de Algemene Administratie van de Douane en Accijnzen, bedoeld in het besluit van de Voorzitter van het Directiecomité van 16 oktober 2014 tot oprichting van de nieuwe diensten van de Algemene Administratie van de Douane en Accijnzen. De leden van de bevoegde diensten worden gedurende de periode van hun detachering onder het functioneel en hiërarchisch toezicht geplaatst van de leidend ambtenaar van de PIE. Zij behouden evenwel het statuut van hun oorspronkelijke dienst. § 2. Na overleg met de functionaris voor de gegevensbescherming en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, sluiten de leidend ambtenaar van de PIE en de bevoegde diensten het protocolakkoord bedoeld in artikel 17, teneinde de nadere regels te bepalen met betrekking tot de doorgifte van de gegevens. Het protocol vermeldt minstens de volgende garanties : - de nadere regels met betrekking tot de uitwisseling van de gegevens; - de door de wet bepaalde maximumtermijnen voor de verwerking van de gegevens; - het informeren van de PIE door de bevoegde diensten over het gevolg gegeven aan de gevalideerde positieve overeenstemmingen. § 3. Overeenkomstig de wettelijke verplichtingen van iedere bevoegde dienst homologeert de Nationale Veiligheidsoverheid een beveiligd en gecodeerd communicatie- en informatiesysteem voor het automatisch versturen van de positieve overeenstemmingen. § 4. De Koning bepaalt bij een in Ministerraad overlegd besluit en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, de nadere regels voor de samenstelling en de organisatie van de PIE, het statuut van de leidend ambtenaar en de leden van de PIE, evenals de directies of afdelingen die binnen de bevoegde diensten instaan voor de verwerking van de passagiersgegevens. HOOFDSTUK 8. - De passagiersgegevensbank

Art. 15.§ 1. Er wordt een passagiersgegevensbank opgericht die door de Federale Overheidsdienst Binnenlandse Zaken wordt beheerd en waarin de passagiersgegevens worden geregistreerd. § 2. De leidend ambtenaar van de PIE is de verantwoordelijke voor de verwerking van de passagiersgegevensbank in de zin van artikel 1, § 4, van de wet tot bescherming van de persoonlijke levenssfeer. § 3. Het recht op toegang en rechtzetting inzake de passagiersgegevens, bepaald in respectievelijk de artikelen 10 en 12 van de wet tot bescherming van de persoonlijke levenssfeer, wordt rechtstreeks uitgeoefend bij de functionaris voor de gegevensbescherming.

In afwijking van het eerste lid worden deze rechten uitgeoefend bij de Commissie voor de bescherming van de persoonlijke levenssfeer voor de positieve overeenstemmingen en de resultaten van de gerichte opzoekingen bedoeld in de artikelen 24 tot 27. § 4. De verwerkingen van de passagiersgegevens uitgevoerd volgens deze wet worden onderworpen aan de wet bescherming van de persoonlijke levenssfeer met betrekking tot de verwerking van gegevens met een persoonlijk karakter. De Commissie voor de bescherming van de persoonlijke levenssfeer oefent haar bevoegdheden uit die de wet tot bescherming van de persoonlijke levenssfeer bepaalt.

Art. 16.In het kader van de doelen beoogd in artikel 8, § 1, is de passagiersgegevensbank rechtstreeks toegankelijk door de PIE voor de verwerkingen bedoeld in de artikelen 24 tot 27 volgens de in hoofdstuk 9 voorziene regels. [...] HOOFDSTUK 9. - Bewaartermijnen

Art. 18.De passagiersgegevens worden in de passagiersgegevensbank bewaard gedurende een maximale termijn van vijf jaar, te rekenen vanaf de registratie ervan. Aan het eind van deze termijn worden ze vernietigd. [...] HOOFDSTUK 1 0. - De gegevensverwerking Afdeling 1. - De verwerking van passagiersgegevens in het kader van de

voorafgaande beoordeling van de passagiers

Art. 24.§ 1. De passagiersgegevens worden verwerkt met het oog op het uitvoeren van een voorafgaande beoordeling van de passagiers vóór hun geplande aankomst in, vertrek uit of doorreis over het nationaal grondgebied om te bepalen welke personen moeten worden onderworpen aan een nader onderzoek. § 2. In het kader van de doelen beoogd in artikel 8, § 1, 1°, 4° en 5°, of met betrekking tot de bedreigingen vermeld in de artikelen 8, 1°, a), b), c), d), f), g) en 11, § 2, van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst, berust de voorafgaande beoordeling van de passagiers op een positieve overeenstemming, voortvloeiende uit een correlatie van de passagiersgegevens met : 1° de gegevensbanken die door de bevoegde diensten worden beheerd of die voor hen rechtstreeks beschikbaar of toegankelijk zijn in het kader van hun opdrachten of met lijsten van personen die worden opgesteld door de bevoegde diensten in het kader van hun opdrachten.2° de door de PIE vooraf bepaalde beoordelingscriteria, bedoeld in artikel 25. § 3. In het kader van de doeleinden beoogd in artikel 8, § 1, 3°, berust de voorafgaande beoordeling van de passagiers op een positieve overeenstemming, voortvloeiende uit een correlatie van de passagiersgegevens met de gegevensbanken bedoeld in § 2, 1°. § 4. De positieve overeenstemming wordt gevalideerd door de PIE binnen de vierentwintig uur na ontvangst van het geautomatiseerd bericht van de positieve overeenstemming. § 5. Vanaf het moment van validatie geeft de bevoegde dienst die aan de basis ligt van de positieve overeenstemming een nuttig gevolg binnen de kortst mogelijke termijn.

Art. 25.§ 1. De passagiersgegevens kunnen door de PIE worden gebruikt voor het bijstellen van bestaande criteria of het formuleren van nieuwe criteria die bestemd zijn om zich te richten op individuen bij de voorafgaande beoordelingen van de passagiers, bedoeld in artikel 24, § 2, 2°. § 2. Het beoordelen van de passagiers voor hun geplande aankomst, doorreis of vertrek op grond van vooraf bepaalde criteria wordt op niet-discriminerende wijze verricht. Deze criteria mogen niet gericht zijn op de identificatie van een individu en moeten doelgericht, evenredig en specifiek zijn. § 3. Deze criteria mogen niet gebaseerd zijn op gegevens die de raciale of etnische oorsprong van een persoon, zijn religieuze of levensbeschouwelijke overtuigingen, zijn politieke opvattingen, zijn vakbondslidmaatschap, zijn gezondheidstoestand, zijn seksleven of zijn seksuele geaardheid onthullen.

Art. 26.§ 1. Voor het in artikel 8, § 1, 3°, bedoelde doel zullen enkel de passagiersgegevens bedoeld in artikel 9, § 1, 18° met betrekking tot de persoon of personen voor wie een positieve overeenstemming werd gegenereerd, toegankelijk zijn. § 2. Voor het doel beoogd in artikel 8, § 1, 1°, 4° en 5°, of met betrekking tot de bedreigingen vermeld in de artikelen 8, 1°, a), b), c), d), f), g), en 11, § 2, van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst, zijn alle passagiersgegevens bedoeld in artikel 9 toegankelijk. Afdeling 2. - De verwerking van gegevens in het kader van gerichte

opzoekingen

Art. 27.De passagiersgegevens worden gebruikt om gerichte opzoekingen te verrichten voor de doelen beoogd in artikel 8, § 1, 1°, 2°, 4° en 5°, en onder de voorwaarden bepaald in artikel 46septies van het Wetboek van Strafvordering of in artikel 16/3 van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst. HOOFDSTUK 1 1. - De verwerking van de passagiersgegevens ter verbetering van de grenscontroles en ter bestrijding van de illegale immigratie

Art. 28.§ 1. Dit hoofdstuk is van toepassing op de verwerking van de passagiersgegevens door de politiediensten belast met de grenscontroles en door de Dienst Vreemdelingenzaken, met het oog op de verbetering van de controles van personen aan de buitengrenzen en met het oog op de bestrijding van de illegale immigratie. § 2. Dit hoofdstuk is van toepassing onverminderd de verplichtingen van de politiediensten belast met de grenscontroles en van de Dienst Vreemdelingenzaken om persoonsgegevens of inlichtingen door te geven krachtens wettelijke of reglementaire bepalingen.

Art. 29.§ 1. Met het oog op de in artikel 28, § 1, beoogde doelen worden de passagiersgegevens doorgegeven aan de politiediensten belast met de grenscontroles en aan de Dienst Vreemdelingenzaken, om hen in staat te stellen hun wettelijke opdrachten te vervullen, binnen de in dit artikel bepaalde grenzen. § 2. Enkel de passagiersgegevens bedoeld in artikel 9, § 1, 18°, worden doorgegeven voor de volgende categorieën van passagiers : 1° de passagiers die van plan zijn om het grondgebied via de buitengrenzen van België te betreden of het grondgebied via de buitengrenzen van België betreden hebben;2° de passagiers die van plan zijn om het grondgebied via de buitengrenzen van België te verlaten of het grondgebied via de buitengrenzen van België verlaten hebben;3° de passagiers die van plan zijn om via een in België gelegen internationale transitzone te passeren, die zich in een in België gelegen internationale transitzone bevinden of die via een in België gelegen transitzone gepasseerd zijn. § 3. De passagiersgegevens bedoeld in § 2 worden onmiddellijk na hun registratie in de passagiersgegevensbank doorgestuurd naar de politiediensten die belast zijn met de controle aan de buitengrenzen van België. Deze bewaren de gegevens in een tijdelijk bestand en vernietigen ze binnen de vierentwintig uur na doorsturing. § 4. Wanneer de Dienst Vreemdelingenzaken de gegevens nodig heeft voor de vervulling van zijn wettelijke opdrachten, worden de passagiersgegevens bedoeld in § 2 onmiddellijk na hun registratie in de passagiersgegevensbank doorgestuurd. De Dienst Vreemdelingenzaken bewaart deze gegevens in een tijdelijk bestand en vernietigt ze binnen de vierentwintig uur na doorsturing.

Indien, na het verstrijken van deze termijn, de toegang tot de passagiersgegevens bedoeld in § 2 voor de Dienst Vreemdelingenzaken noodzakelijk is in het kader van de uitvoering van zijn wettelijke opdrachten, richt hij hiertoe een afdoende gemotiveerde aanvraag tot de PIE. De Dienst Vreemdelingenzaken stuurt maandelijks een verslag naar de Commissie voor de bescherming van de persoonlijke levenssfeer betreffende de toepassing van het tweede lid.

De Koning bepaalt bij een in Ministerraad overlegd besluit en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, de toegangsvoorwaarden bedoeld in het tweede lid.

Art. 30.§ 1. De technische beveiligings- en toegangsregels, alsook de nadere regels voor de doorgifte van de passagiersgegevens aan de politiediensten belast met de grenscontroles en aan de Dienst Vreemdelingenzaken, worden gepreciseerd in een protocol dat afgesloten wordt, in overleg met de functionaris voor de gegevensbescherming en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, tussen, enerzijds, de leidend ambtenaar van de PIE en, anderzijds, de Commissaris-generaal van de federale politie en de leidend ambtenaar van de Dienst Vreemdelingenzaken. § 2. Deze nadere regels hebben tenminste betrekking op : 1° de behoefte van de Dienst Vreemdelingenzaken om op de hoogte te zijn van de gegevens;2° de categorieën van personeelsleden die op basis van de uitvoering van hun opdrachten over een rechtstreekse toegang beschikken tot de doorgestuurde gegevens;3° de verplichting voor alle personen die rechtstreeks of onrechtstreeks kennis nemen van de passagiersgegevens om het beroepsgeheim te respecteren;4° de veiligheidsmaatregelen in verband met hun doorgifte.

Art. 31.De vervoerders en de reisoperatoren vernietigen, binnen de vierentwintig uur na het einde van het in artikel 4, 3° tot 6° bedoelde vervoer, alle in artikel 9, § 2, bedoelde passagiersgegevens, die ze overeenkomstig artikel 7 doorsturen. [...] HOOFDSTUK 1 5. - Wijzigingsbepalingen Afdeling 1. - Wijziging van het Wetboek van Strafvordering

Art. 50.In het Wetboek van Strafvordering wordt een artikel 46septies ingevoegd, luidende : '

Art. 46septies.Bij het opsporen van de misdaden en wanbedrijven bedoeld in artikel 8, § 1, 1°, 2° en 5°, van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens, kan de procureur des Konings, bij een schriftelijke en met redenen omklede beslissing, de officier van gerechtelijke politie opdragen om de PIE te vorderen tot het meedelen van de passagiersgegevens overeenkomstig artikel 27 van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens.

De motivering weerspiegelt de proportionaliteit met inachtneming van de persoonlijke levenssfeer en de subsidiariteit ten opzichte van elke andere onderzoeksdaad.

De maatregel kan betrekking hebben op een geheel van gegevens die betrekking hebben op een specifiek onderzoek. In dit geval preciseert de procureur des Konings de duur van de maatregel die niet langer kan zijn dan een maand, te rekenen vanaf de beslissing, onverminderd hernieuwing.

In geval van uiterst dringende noodzakelijkheid kan iedere officier van gerechtelijke politie, na mondelinge en voorafgaande instemming van de procureur des Konings, en bij een gemotiveerde en schriftelijke beslissing, de leidend ambtenaar van de PIE vorderen tot het meedelen van de passagiersgegevens. De officier van de gerechtelijke politie deelt deze gemotiveerde en schriftelijke beslissing en de verkregen informatie binnen vierentwintig uur mee aan de procureur des Konings en motiveert tevens de uiterst dringende noodzakelijkheid. ' Afdeling 2. - Wijziging van de wet van 30 november 1998 houdende

regeling van de inlichtingen- en veiligheidsdienst

Art. 51.In hoofdstuk III, afdeling 1, onderafdeling 2, van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst, wordt een artikel 16/3 ingevoegd, luidende : '

Art. 16/3.§ 1. De inlichtingen- en veiligheidsdiensten kunnen, in het belang van de uitoefening van hun opdrachten, mits afdoende motivering, beslissen om toegang te hebben tot de passagiersgegevens bedoeld in artikel 27 van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens. § 2. De in § 1 bedoelde beslissing, wordt door een diensthoofd genomen en schriftelijk overgemaakt aan de Passagiersinformatie-eenheid bedoeld in hoofdstuk 7 van voormelde wet. De beslissing wordt met de motivering van deze beslissing aan het Vast Comité I betekend.

Het Vast Comité I verbiedt de inlichtingen- en veiligheidsdiensten om gebruik te maken van de gegevens die verzameld werden in omstandigheden die niet aan de wettelijke voorwaarden voldoen.

De beslissing kan betrekking hebben op een geheel van gegevens die betrekking hebben op een specifiek inlichtingenonderzoek. In dit geval wordt de lijst van de raadplegingen van de passagiersgegevens een keer per maand aan het Vast Comité I doorgegeven. ' ».

Ten aanzien van de inwerkingtreding en het toepassingsgebied van de wet van 25 december 2016 B.6. Krachtens artikel 54 van de wet van 25 december 2016 bepaalt de Koning, bij een in Ministerraad overlegd besluit, per vervoerssector en voor de reisoperatoren, de datum van inwerkingtreding van deze wet.

B.7. Het koninklijk besluit van 18 juli 2017 « ter uitvoering van de wet van 25 december 2016 betreffende de verwerking van de passagiersgegevens, houdende de verplichtingen opgelegd aan de luchtvaartmaatschappijen » (hierna : het koninklijk besluit van 18 juli 2017) bepaalt met name de verplichtingen van de luchtvaartmaatschappijen en de nadere regels inzake doorgifte van de passagiersgegevens.

Krachtens artikel 12 van het koninklijk besluit van 18 juli 2017, is de wet van 25 december 2016 ten aanzien van de luchtvaartmaatschappijen, in werking getreden op dezelfde dag als dat koninklijk besluit, namelijk op 7 augustus 2017.

B.8. Op dezelfde wijze bepaalt het koninklijk besluit van 3 februari 2019 « ter uitvoering van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens, houdende de verplichtingen opgelegd aan de HST-vervoerders en de HST-ticketverdelers » de verplichtingen van de HST-vervoerders (internationale dienst van reizigersvervoer over het spoor) en van de HST-ticketverdelers, alsook de nadere regels inzake doorgifte van de passagiersgegevens.

Krachtens artikel 10 van het voormelde koninklijk besluit van 3 februari 2019, is de wet van 25 december 2016, wat de HST-vervoerders en de HST-ticketverdelers betreft, in werking getreden op dezelfde dag als dat koninklijk besluit, namelijk op 22 februari 2019.

B.9. Ten slotte bepaalt het koninklijk besluit van 3 februari 2019 « ter uitvoering van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens, houdende de verplichtingen opgelegd aan de busvervoerders » de verplichtingen van de busvervoerders alsook de nadere regels inzake doorgifte van de passagiersgegevens.

Krachtens artikel 10 van het voormelde koninklijk besluit van 3 februari 2019, is de wet van 25 december 2016, wat de busvervoerders betreft, in werking getreden op dezelfde dag als dat koninklijk besluit, namelijk op 22 februari 2019.

B.10. Uit het voorgaande volgt dat de wet van 25 december 2016 van kracht is met betrekking tot (1) de luchtvaartmaatschappijen, (2) de HST-vervoerders en de HST-ticketverdelers en (3) de busvervoerders.

Ten aanzien van de wijzigingen aangebracht in de wet van 25 december 2016 B.11.1. Artikel 280, vierde lid, van de wet van 30 juli 2018 « betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens » (hierna : de wet van 30 juli 2018) heeft artikel 15, § 3, van de wet van 25 december 2016 opgeheven. Overeenkomstig artikel 281, eerste lid, van de wet van 30 juli 2018, is die opheffing in werking getreden de dag waarop de wet van 30 juli 2018 in het Belgisch Staatsblad is bekendgemaakt, namelijk op 5 september 2018.

B.11.2. In de parlementaire voorbereiding van de wet van 30 juli 2018 wordt, wat betreft de opheffing van artikel 15, § 3, van de wet van 25 december 2016, uiteengezet : « In het laatste lid wordt het systeem van rechtstreekse en onrechtstreekse toegang voor de betrokkenen tot hun gegevens voorzien in artikel 15 van de PNR-wet afgeschaft. Dit systeem paste niet bij het vertrouwelijk karakter van de verwerkte gegevens. Het binaire karakter van het systeem zou namelijk een passagier, in functie van de entiteit bij wie hij de toegang tot zijn gegevens zou kunnen uitoefenen, in staat hebben kunnen stellen te weten of zijn gegevens een positieve overeenstemming hadden opgeleverd of het resultaat vormden van een gerichte opzoeking en dus te weten of hij al dan niet door de bevoegde diensten werd onderzocht. Door het afschaffen van voormeld systeem zijn de bepalingen in de wet betreffende de bescherming met betrekking tot persoonsgegevens, die een rechtstreekse of onrechtstreekse toegang voorzien in functie van de toepasselijke Titel van huidige wet, van toepassing. Deze laat eveneens toe om te beantwoorden aan punt 247 van het advies van de Privacycommissie, die zich afvraagt of zulk systeem conform is met de bepalingen van huidige wet » (Parl. St., Kamer, 2017-2018, DOC 54-3126/001, pp. 254-255).

B.11.3. Er werd geen beroep tot vernietiging ingesteld tegen artikel 280, vierde lid, van de wet van 30 juli 2018.

Daaruit volgt dat het voorliggende beroep tot vernietiging, in zoverre het betrekking heeft op artikel 15, § 3, van de wet van 25 december 2016, definitief zonder voorwerp is geworden.

B.11.4. De wet van 30 juli 2018 omlijnt overigens de verwerkingen van persoonsgegevens, meer bepaald wat betreft de doelstellingen die zijn opgesomd in artikel 8 van de wet van 25 december 2016.

B.11.5. De parlementaire voorbereiding van de wet van 30 juli 2018 zet in dat verband uiteen : « De verwerkingen ter verbetering van de grenscontroles en bestrijding van de illegale immigratie, bedoeld in artikel 8, § 2, van voornoemde wet van 25 december 2016, die een omzetting betreft van de API-Richtlijn, worden ingedeeld onder titel 1 van deze wet.

De verwerkingen in het kader van de finaliteiten opgenomen in artikel 8, § 1, 1°, 2°, 3° en 5°, van voornoemde wet van 25 december 2016 worden ingedeeld onder titel 2 aangezien dit verwerkingen betreffen van persoonsgegevens (passagiersgegevens) door de bevoegde overheden met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.

De verwerkingen in het kader van de finaliteit bedoeld in artikel 8, § 1, 4°, van voornoemde wet van 25 december 2016 worden ingedeeld onder titel 3 daar dit verwerkingen [betreft] van persoonsgegevens (passagiersgegevens), uitgevoerd in het kader van de opdrachten van de inlichtingen- en veiligheidsdiensten als bedoeld in artikelen 7 en 11 van de wet van 30 november 1998.

Voornoemde wet van 25 december 2016 bevat reeds verscheidene bepalingen inzake gegevensbescherming zoals het aanstellen van een functionaris voor gegevensbescherming, het voorzien van een manuele validatie of het verbod om gevoelige gegevens te verwerken. Bepaalde punten die reeds opgenomen zijn in de wet van 25 december 2016 dienen bijgevolg niet opgenomen worden in de huidige wet » (ibid., pp. 188-189).

B.11.6. Daaruit volgt dat, om de draagwijdte van het bestreden artikel 8 van de wet van 25 december 2016 te beoordelen, het Hof rekening dient te houden met de wet van 30 juli 2018.

B.12.1. De artikelen 62 tot 70 van de wet van 15 juli 2018 « houdende diverse bepalingen Binnenlandse Zaken » (hierna : de wet van 15 juli 2018), bekendgemaakt in het Belgisch Staatsblad op 25 september 2018, hebben eveneens de wet van 25 december 2016 gewijzigd.

De artikelen 62 tot 68 wijzigen meerdere bestreden artikelen van de wet van 25 december 2016 als volgt : «

Art. 62.In artikel 8 van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens worden de volgende wijzigingen aangebracht : 1° in paragraaf 1 wordt de bepaling onder 1° vervangen als volgt : ' 1° het opsporen en vervolgen, met inbegrip van de uitvoering van straffen of vrijheidsbeperkende maatregelen, met betrekking tot misdrijven bedoeld in artikel 90ter, § 2, 2°, 3°, 7°, 8°, 11°, 14°, 17° tot 20°, 22°, 24° tot 28°, 30°, 32°, 33°, 34°, 36° tot 39°, 43° tot 45° en § 3, van het Wetboek van strafvordering;' 2° in paragraaf 1 wordt de bepaling onder 5° vervangen als volgt : ' 5° het opsporen en vervolgen van de misdrijven bedoeld in artikel 220, § 2, van de algemene wet van 18 juli 1977 inzake douane en accijnzen, in artikel 45, derde lid, van de wet van 22 december 2009 betreffende de algemene regeling inzake accijnzen, in artikel 5 van de wet van 15 mei 2007 betreffende de bestraffing van namaak en piraterij van intellectuele eigendomsrechten, in artikel 26 van het decreet van de Duitstalige gemeenschap van 20 februari 2017 ter bescherming van roerende cultuurgoederen van uitzonderlijk belang alsook in artikel 24 van het decreet van de Vlaamse gemeenschap van 24 januari 2003 houdende bescherming van het roerend cultureel erfgoed van uitzonderlijk belang, het ministerieel besluit tot wijziging van het ministerieel besluit van 7 februari 2012 waarbij de invoer van goederen van oorsprong of van herkomst uit Syrië, aan een vergunning onderworpen wordt, zoals gewijzigd bij het ministerieel besluit van 1 juli 2014, het ministerieel besluit van 23 maart 2004 tot opheffing van het ministerieel besluit van 17 januari 2003 waarbij de in-, uit- en doorvoer van goederen van oorsprong of van herkomst uit of met bestemming Irak, aan een voorafgaande machtiging onderworpen wordt en waarbij de in-, uit- en doorvoer van zekere goederen van oorsprong, van herkomst uit of met bestemming Irak aan een vergunning onderworpen wordt alsook het opsporen van misdrijven bedoeld in artikel 5 van de wet van 28 juli 1981 houdende goedkeuring van de Overeenkomst inzake de internationale handel in bedreigde in het wild levende dier- en plantensoorten, en van de Bijlagen, opgemaakt te Washington op 3 maart 1973, alsmede van de Wijziging van de Overeenkomst, aangenomen te Bonn op 22 juni 1979.'.

Art. 63.In artikel 14 van dezelfde wet worden de volgende wijzigingen aangebracht : 1° in paragraaf 1, 2°, wordt de bepaling onder d) vervangen als volgt : ' d) De onderzoeksdiensten, opsporingsdiensten en diensten belast met toezicht, controle en vaststelling van de Algemene Administratie van de Douane en Accijnzen.'; 2° paragraaf 4 wordt vervangen als volgt : ' § 4.De Koning bepaalt bij een besluit vastgesteld na overleg in de Ministerraad en na advies van de bevoegde toezichthoudende autoriteit voor de verwerking van persoonsgegevens, de nadere regels voor de samenstelling en de organisatie van de PIE alsook het statuut van de leidend ambtenaar en de leden van de PIE. '.

Art. 64.In artikel 15, § 2, van dezelfde wet wordt het woord ' passagiersgegevensbank ' vervangen door het woord ' passagiersgegevens '.

Art. 65.Artikel 17 van dezelfde wet wordt vervangen als volgt : '

Art. 17.Na overleg met de functionaris voor de gegevensbescherming en na advies van de bevoegde toezichthoudende autoriteit voor de verwerking van persoonsgegevens, sluiten de leidend ambtenaar van de PIE en de bevoegde diensten een protocol af dat de technische beveiligings- en toegangsregels uitwerkt.

Dit protocol : 1° garandeert dat de verwerkte gegevens aan dezelfde beveiligings- en beschermingsvereisten worden onderworpen;2° zorgt ervoor dat de noodzakelijke beveiligingsmaatregelen genomen worden teneinde : - te voldoen aan de verplichtingen die voortvloeien uit de regels betreffende de in deze wet bepaalde termijnen, de bewaring en de vernietiging van de gegevens die in de passagiersgegevensbank zijn bewaard; - de gegevens ontoegankelijk te maken voor elke persoon die niet gemachtigd is om hiertoe toegang te hebben; - te verzekeren dat de verwerkingen uitgevoerd door de leden van de PIE, gebeuren overeenkomstig de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 3° bepaalt dat machtigingen om toegang tot de passagiersgegevens en gemeenschappelijke gebruikersprofielen worden toegekend aan elke persoon die toegang zou kunnen hebben tot de passagiersgegevens;4° garandeert dat de gegevens op het grondgebied van de Europese Unie worden bewaard.'.

Art. 66.In artikel 24, § 2, van dezelfde wet, wordt de inleidende zin van het eerste lid vervangen als volgt : ' In het kader van de doelen beoogd in artikel 8, § 1, 1°, 2°, 4° en 5°, of met betrekking tot de bedreigingen vermeld in de artikelen 8, 1°, a), b), c), d), f), g), en 11, § 2, van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst, berust de voorafgaande beoordeling van de passagiers op een positieve overeenstemming, voortvloeiende uit een correlatie van de passagiersgegevens met : '.

Art. 67.In artikel 26 van dezelfde wet wordt paragraaf 2 vervangen als volgt : ' § 2. Voor het doel beoogd in artikel 8, § 1, 1°, 2°, 4° en 5°, of met betrekking tot de bedreigingen vermeld in de artikelen 8, 1°, a), b), c), d), f), g), en 11, § 2, van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst, zijn alle passagiersgegevens bedoeld in artikel 9 toegankelijk. '.

Art. 68.In artikel 31 van dezelfde wet worden de woorden ' in artikel 9, § 2 ' vervangen door de woorden ' in artikel 9, § 1, 18° '. ».

B.12.2. Die wijzigingen zijn in werking getreden op 5 oktober 2018.

B.12.3. Het Hof dient te onderzoeken in welke mate die wijzigingen een weerslag hebben op het voorwerp van het beroep.

B.12.4.1. Artikel 62 van de wet van 15 juli 2018 vervangt artikel 8, § 1, 1° en 5°, van de wet van 25 december 2016.

Artikel 63 van de wet van 15 juli 2018 vervangt artikel 14, § 1, 2°, d), en § 4, van de wet van 25 december 2016.

Artikel 65 van de wet van 15 juli 2018 vervangt artikel 17 van de wet van 25 december 2016.

Artikel 66 van de wet van 15 juli 2018 vervangt artikel 24, § 2, eerste lid, inleidende zin, van de wet van 25 december 2016.

Artikel 67 van de wet van 15 juli 2018 vervangt artikel 26, § 2, van de wet van 25 december 2016.

B.12.4.2. Door die wijzigingen wordt het beroep in principe zonder voorwerp in zoverre het gericht is tegen de artikelen 8, § 1, 1° en 5°, 14, § 1, 2°, d), en § 4, 17, 24, § 2, eerste lid, inleidende zin, en 26, § 2, van de wet van 25 december 2016.

B.12.4.3. Er werd geen beroep tot vernietiging ingesteld tegen de voormelde artikelen van de wet van 15 juli 2018, die de wet van 25 december 2016 wijzigen.

B.12.4.4. Het voorliggende beroep tot vernietiging is gericht tegen de wet van 25 december 2016 in haar oorspronkelijke versie. Ook al zijn de artikelen 8, § 1, 1° en 5°, 14, § 1, 2°, d), en § 4, 17, 24, § 2, eerste lid, inleidende zin, en 26, § 2, van de wet van 25 december 2016 vervangen bij de voormelde artikelen van de wet van 15 juli 2018, toch behoudt het beroep tot vernietiging, in zoverre het gericht is tegen de artikelen 8, § 1, 1° en 5°, 14, § 1, 2°, d), en § 4, 17, 24, § 2, eerste lid, inleidende zin, en 26, § 2, van de wet van 25 december 2016, een voorwerp in zoverre de wet van 15 juli 2018 die bestreden artikelen van de wet van 25 december 2016 niet wezenlijk wijzigt.

Het Hof onderzoekt bijgevolg, voor elk van die bepalingen en voor elke grief, in welke mate het beroep tot vernietiging al dan niet een voorwerp heeft behouden.

B.12.5.1. Artikel 64 van de wet van 15 juli 2018 vervangt, in artikel 15, § 2, van de wet van 25 december 2016, het woord « passagiersgegevensbank » door het woord « passagiersgegevens ».

Artikel 68 van de wet van 15 juli 2018 vervangt, in artikel 31 van de wet van 25 december 2016, de woorden « in artikel 9, § 2 » door de woorden « in artikel 9, § 1, 18° ».

B.12.5.2. Die wijzigingen vormen slechts technische correcties van de artikelen 15, § 2, en 31 van de wet van 25 december 2016, zonder dat zij die bepalingen vervangen, zodat zij niet kunnen worden geacht een weerslag te hebben op het voorwerp van het voorliggende beroep.

B.12.6. Voor het overige houdt het Hof rekening met de voormelde wijzigingen teneinde meer bepaald de draagwijdte van de bestreden bepalingen vast te stellen.

B.13.1. De artikelen 2 tot 11 van de wet van 2 mei 2019 « tot wijziging van diverse bepalingen betreffende de verwerking van passagiersgegevens » (hierna : de wet van 2 mei 2019), bekendgemaakt in het Belgisch Staatsblad van 24 mei 2019, hebben eveneens de wet van 25 december 2016 gewijzigd.

De artikelen 2 en 4 tot 7 van de wet van 2 mei 2019 wijzigen verscheidene bestreden artikelen van de wet van 25 december 2016 als volgt : «

Art. 2.In de artikelen 3, § 2, 14, § 2, 15, § 4, 23, § 2, tweede lid, 29, § 4, 30, § 1, 44, § 2, 7° en 9° en § 4, van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens, worden de woorden ' de Commissie voor de bescherming van de persoonlijke levenssfeer ' telkens vervangen door de woorden ' de bevoegde toezichthoudende autoriteit voor de verwerking van persoonsgegevens ' ». «

Art. 4.In artikel 15 van dezelfde wet, gewijzigd bij de wetten van 15 juli 2018 en 30 juli 2018, worden de volgende wijzigingen aangebracht : 1° In paragrafen 2 en 4, worden de woorden ' wet tot bescherming van de persoonlijke levenssfeer ' telkens vervangen door de woorden ' wet gegevensbescherming '.2° In paragraaf 2, worden de woorden ' artikel 1, § 4 ' vervangen door de woorden ' artikel 26, 8°.'

Art. 5.Artikel 24, § 2, van dezelfde wet, gewijzigd bij de wet van 15 juli 2018 wordt aangevuld met een lid, luidende : ' In het kader van het in het eerste lid beoogde doel waarvoor de positieve overeenstemming werd verkregen, berust het gebruik van passagiersgegevens in het kader van de voorafgaande beoordeling gedurende een periode van vierentwintig uur vanaf de validatie bedoeld in paragraaf 4 op : 1° de relevante passagiersgegevens van hetzelfde vervoer als dit waaruit de positieve overeenstemming voortvloeit voor zover deze gegevens verband houden met de gegevens opgenomen in de positieve overeenstemming.2° de andere in de passagiersgegevensbank geregistreerde passagiersgegevens van de persoon die het voorwerp heeft uitgemaakt van de positieve overeenstemming, onverminderd de toepassing van artikelen 19 en 20 '.

Art. 6.Artikel 27 van dezelfde wet wordt vervangen door : '

Art. 27.De passagiersgegevens worden gebruikt om gerichte opzoekingen te verrichten voor de doelen beoogd in artikel 8, § 1, 1°, 2°, 4° en 5°, en onder de voorwaarden bepaald in artikel 46septies van het Wetboek van strafvordering, in artikel 16/3 van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst of in artikel 281, § 4 van de algemene wet inzake douane en accijnzen gecoördineerd op 18 juli 1977 '.

Art. 7.In artikel 29 van dezelfde wet, worden de volgende wijzigingen aangebracht : 1° in paragraaf 1, worden de woorden ' belast met de grenscontroles ' vervangen door de woorden ' bedoeld in artikel 14, § 1, 2°, a) ';2° in paragraaf 36, worden de woorden ' die belast zijn met de controle aan de buitengrenzen van België ' vervangen door de woorden ' zoals bedoeld in artikel 14, § 1, 2°, a) ' ». B.13.2. Die wijzigingen zijn in werking getreden op 3 juni 2019.

B.13.3. Zoals in B.12.5.2 is vermeld, vormen de artikelen 2, 4 en 7 van de wet van 2 mei 2019 enkel technische correcties van de artikelen 3, § 2, 14, § 2, 15, § 4, 29 en 30, § 1, van de wet van 25 december 2016, zodat die wijzigingen geen weerslag hebben op het onderwerp van het thans voorliggende beroep.

B.13.4. Ook al vervangt artikel 6 van de wet van 2 mei 2019 het bestreden artikel 27 van de wet van 25 december 2016, behoudt, zoals in B.12.4.4 is vermeld, het beroep tot vernietiging, in zoverre het tegen die bepaling is gericht, een voorwerp, doordat de inhoud van artikel 6 van de wet van 2 mei 2019 identiek is aan de oorspronkelijke versie van dat artikel 27.

B.13.5. Voor het overige houdt het Hof rekening met de wijziging die bij artikel 5 van de wet van 2 mei 2019 is aangebracht in artikel 24, § 2, van de wet van 25 december 2016 teneinde inzonderheid de draagwijdte van de bestreden bepaling te bepalen.

Ten gronde Ten aanzien van het eerste middel B.14. Het eerste middel, dat in hoofdorde wordt geformuleerd, is afgeleid uit de schending van artikel 22 van de Grondwet, al dan niet in samenhang gelezen met artikel 23 van de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 « betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG » (algemene verordening gegevensbescherming - hierna : de « AVG »), met de artikelen 7, 8 en 52, lid 1, van het Handvest van de grondrechten van de Europese Unie en met artikel 8 van het Europees Verdrag voor de rechten van de mens.

Volgens de verzoekende partij zou de wet van 25 december 2016 afbreuk doen aan het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens, die door die bepalingen worden gewaarborgd. De wet van 25 december 2016 zou het wettigheidsbeginsel niet in acht nemen. Het systematisch en ongedifferentieerd verzamelen, doorgeven en verwerken van « PNR-gegevens » volgens een methode van « pre-screening » zou niet noodzakelijk zijn, noch verantwoord door een doel van algemeen belang en verscheidene doorgevoerde maatregelen zouden onevenredig zijn.

Wat de referentienormen betreft B.15.1. Artikel 22 van de Grondwet bepaalt : « Ieder heeft recht op eerbiediging van zijn privéleven en zijn gezinsleven, behoudens in de gevallen en onder de voorwaarden door de wet bepaald.

De wet, het decreet of de in artikel 134 bedoelde regel waarborgen de bescherming van dat recht ».

B.15.2. Artikel 8 van het Europees Verdrag voor de rechten van de mens bepaalt : « 1. Eenieder heeft recht op eerbiediging van zijn privéleven, zijn gezinsleven, zijn huis en zijn briefwisseling. 2. Geen inmenging van enig openbaar gezag is toegestaan met betrekking tot de uitoefening van dit recht dan voor zover bij de wet is voorzien en in een democratische samenleving nodig is in het belang van 's lands veiligheid, de openbare veiligheid, of het economisch welzijn van het land, de bescherming van de openbare orde en het voorkomen van strafbare feiten, de bescherming van de gezondheid of de goede zeden, of voor de bescherming van de rechten en vrijheden van anderen ». B.15.3. De Grondwetgever heeft gestreefd naar een zo groot mogelijke concordantie tussen artikel 22 van de Grondwet en artikel 8 van het Europees Verdrag voor de rechten van de mens (Parl. St., Kamer, 1992-1993, nr. 997/5, p. 2).

De draagwijdte van dat artikel 8 is analoog aan die van de voormelde grondwetsbepaling, zodat de waarborgen die beide bepalingen bieden, een onlosmakelijk geheel vormen.

B.16.1. Het recht op eerbiediging van het privéleven, zoals gewaarborgd in de voormelde grondwets- en verdragsbepalingen, heeft als essentieel doel de personen te beschermen tegen inmengingen in hun privéleven.

Dat recht heeft een ruime draagwijdte en omvat, onder meer, de bescherming van persoonsgegevens en van persoonlijke informatie. De rechtspraak van het Europees Hof voor de Rechten van de Mens doet ervan blijken dat, onder meer, de volgende gegevens en informatie betreffende personen vallen onder de bescherming van dat recht : de naam, het adres, de professionele activiteiten, de persoonlijke relaties, digitale vingerafdrukken, camerabeelden, foto's, communicatiegegevens, DNA-gegevens, gerechtelijke gegevens (veroordeling of verdenking), financiële gegevens en informatie over bezittingen (zie onder meer EHRM, 26 maart 1987, Leander t. Zweden, §§ 47-48; grote kamer, 4 december 2008, S. en Marper t. Verenigd Koninkrijk, §§ 66-68; 17 december 2009, B.B. t. Frankrijk, § 57; 10 februari 2011, Dimitrov-Kazakov t. Bulgarije, §§ 29-31; 18 oktober 2011, Khelili t. Zwitserland, §§ 55-57; 9 oktober 2012, Alkaya t.

Turkije, § 29; 18 april 2013, M.K. t. Frankrijk, § 26; 18 september 2014, Brunet t. Frankrijk, § 31).

Het Hof van Justitie oordeelt eveneens dat de eerbiediging van het recht op persoonlijke levenssfeer bij de verwerking van persoonsgegevens gelijk welke informatie betreft aangaande een geïdentificeerde of identificeerbare persoon (HvJ, grote kamer, 9 november 2010, C-92/09 en C-93/09, Volker und Markus Schecke en Eifert, punt 52; 16 januari 2019, C-496/17, Deutsche Post AG, punt 54).

B.16.2. De rechten die bij artikel 22 van de Grondwet en bij artikel 8 van het Europees Verdrag voor de rechten van de mens worden gewaarborgd, zijn evenwel niet absoluut.

Zij sluiten een overheidsinmenging in het recht op eerbiediging van het privéleven niet uit, maar vereisen dat zij wordt toegestaan door een voldoende precieze wettelijke bepaling, dat zij beantwoordt aan een dwingende maatschappelijke behoefte in een democratische samenleving en dat zij evenredig is met de daarmee nagestreefde wettige doelstelling. Die bepalingen houden voor de overheid bovendien de positieve verplichting in om maatregelen te nemen die een daadwerkelijke eerbiediging van het privéleven verzekeren, ook in de sfeer van de onderlinge verhoudingen tussen individuen (EHRM, 27 oktober 1994, Kroon e.a. t. Nederland, § 31; grote kamer, 12 november 2013, Söderman t. Zweden, § 78).

B.17.1. Artikel 7 van het Handvest van de grondrechten van de Europese Unie bepaalt : « Eenieder heeft recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie ».

B.17.2. Artikel 8 van het Handvest van de grondrechten van de Europese Unie bepaalt : « 1. Eenieder heeft recht op bescherming van zijn persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet.Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan. 3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd ». B.17.3. Artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie bepaalt : « Beperkingen op de uitoefening van de in dit Handvest erkende rechten en vrijheden moeten bij wet worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen. Met inachtneming van het evenredigheidsbeginsel kunnen slechts beperkingen worden gesteld, indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen ».

B.17.4.1. Artikel 52, lid 3, van het Handvest van de grondrechten van de Europese Unie bepaalt : « Voor zover dit Handvest rechten bevat die corresponderen met rechten welke zijn gegarandeerd door het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, zijn de inhoud en reikwijdte ervan dezelfde als die welke er door genoemd verdrag aan worden toegekend. Deze bepaling verhindert niet dat het recht van de Unie een ruimere bescherming biedt ».

B.17.4.2. Wanneer het Handvest rechten bevat die corresponderen met rechten die zijn gewaarborgd door het Europees Verdrag voor de rechten van de mens, « zijn de inhoud en reikwijdte ervan dezelfde als die welke er door genoemd verdrag aan worden toegekend ». Die bepaling stemt de inhoud en reikwijdte van de door het Handvest gewaarborgde rechten af op de corresponderende rechten die worden gewaarborgd door het Europees Verdrag voor de rechten van de mens.

In de toelichtingen bij het Handvest (2007/C 303/02), bekendgemaakt in het Publicatieblad van 14 december 2007, wordt aangegeven dat, onder de artikelen « met dezelfde inhoud en reikwijdte als de daarmee corresponderende artikelen van het EVRM », artikel 7 van het Handvest correspondeert met artikel 8 van het Europees Verdrag voor de rechten van de mens.

Het Hof van Justitie herinnert in dat verband eraan dat « artikel 7 van het Handvest, inzake de eerbiediging van het privéleven en van het familie- en gezinsleven, rechten bevat die corresponderen met de [...] rechten [die worden gegarandeerd door artikel 8, lid 1, van het Europees Verdrag voor de rechten van de mens, ondertekend te Rome op 4 november 1950 (hierna : het EVRM),] en dat, overeenkomstig artikel 52, lid 3, van het Handvest, aan dat artikel 7 dus dezelfde inhoud en reikwijdte moeten worden toegekend als die welke aan artikel 8, lid 1, van het EVRM worden toegekend, zoals uitgelegd in de rechtspraak van het Europees Hof voor de Rechten van de Mens » (HvJ, 17 december 2015, C-419/14, WebMindLicenses, punt 70; 14 februari 2019, C-345/17, Buivids, punt 65).

B.17.4.3. Wat artikel 8 van het Handvest betreft, oordeelt het Hof van Justitie dat « zoals in artikel 52, lid 3, tweede zin, daarvan uitdrukkelijk wordt bepaald, [artikel 52, lid 3, eerste zin, van het Handvest] niet [verhindert] dat het Unierecht een ruimere bescherming biedt dan het EVRM », en dat « artikel 8 van het Handvest betrekking heeft op een ander grondrecht dan het in artikel 7 van het Handvest geformuleerde grondrecht, dat geen equivalent heeft in het EVRM » (HvJ, grote kamer, 21 december 2016, C-203/15 en C-698/15, Tele2 Sverige, punt 129).

B.17.4.4. Zoals is vermeld in B.16.1, oordeelt het Hof van Justitie eveneens dat de eerbiediging van het recht op persoonlijke levenssfeer bij de verwerking van persoonsgegevens gelijk welke informatie betreft aangaande een geïdentificeerde of identificeerbare persoon (HvJ, grote kamer, 9 november 2010, C-92/09 en C-93/09, Volker und Markus Schecke en Eifert, punt 52; 16 januari 2019, C-496/17, Deutsche Post AG, punt 54).

In zijn advies 1/15 van 26 juli 2017 « betreffende het ontwerp van overeenkomst tussen Canada en de Europese Unie over de doorgifte en verwerking van persoonsgegevens van luchtreizigers », stelt het Hof van Justitie vast dat « PNR-gegevens » informatie bevatten over geïdentificeerde of identificeerbare personen, waardoor het verzamelen en verwerken ervan alsook de toegang tot die gegevens kunnen raken aan het door artikel 7 van het Handvest gewaarborgde recht op eerbiediging van het privéleven, en aan het door artikel 8 van het Handvest gewaarborgde recht op bescherming van persoonsgegevens (HvJ, grote kamer, 26 juli 2017, advies 1/15, Overeenkomst PNR EU-Canada, punten 122-126).

Met betrekking tot de beperkingen die kunnen worden gesteld aan de artikelen 7 en 8 van het Handvest, oordeelt het Hof van Justitie dat « de in de artikelen 7 en 8 van het Handvest verankerde rechten [...] geen absolute gelding [hebben], maar [...] in relatie tot hun sociale functie [moeten] worden beschouwd » (ibid., punt 136) : « 137. In dit verband moet tevens worden opgemerkt dat persoonsgegevens luidens artikel 8, lid 2, van het Handvest met name moeten worden verwerkt ' voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet '. 138. Overeenkomstig artikel 52, lid 1, eerste volzin, van het Handvest moeten beperkingen op de uitoefening van de daarin erkende rechten en vrijheden bij wet worden gesteld en moeten zij de wezenlijke inhoud van die rechten en vrijheden eerbiedigen.Volgens artikel 52, lid 1, tweede volzin, van het Handvest kunnen, met inachtneming van het evenredigheidsbeginsel, slechts beperkingen aan deze rechten en vrijheden worden gesteld indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen » (ibid.).

B.18. Artikel 23 van de « AVG » bepaalt : « 1. De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 kan, voor zover de bepalingen van die artikelen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 20, worden beperkt door middel van Unierechtelijke of lidstaatrechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van : a) de nationale veiligheid;b) landsverdediging;c) de openbare veiligheid;d) de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;e) andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;f) de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;g) de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;h) een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a), tot en met e) en punt g) bedoelde gevallen;i) de bescherming van de betrokkene of van de rechten en vrijheden van anderen;j) de inning van civielrechtelijke vorderingen.2. De in lid 1 bedoelde wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval, ten minste : a) de doeleinden van de verwerking of van de categorieën van verwerking, b) de categorieën van persoonsgegevens, c) het toepassingsgebied van de ingevoerde beperkingen, d) de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte, e) de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken, f) de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking, g) de risico's voor de rechten en vrijheden van de betrokkenen, en h) het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking ». B.19.1. De Ministerraad werpt in hoofdorde een exceptie van niet-ontvankelijkheid van het eerste middel op, in zoverre het is afgeleid uit de schending van artikel 23 van de « AVG », dat niet van toepassing zou zijn op de wet van 25 december 2016.

B.19.2.1. Artikel 2 van de « AVG » bepaalt : « 1. Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. 2. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens: [...] d) door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. [...] ».

B.19.2.2. Overweging 12 van de « AVG » vermeldt : « Artikel 16, lid 2, VWEU machtigt het Europees Parlement en de Raad om de regels vast te stellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens, alsmede de regels betreffende het vrije verkeer van die gegevens ».

De door de « AVG » geboden bescherming is gegrond op artikel 16, lid 2, van het Verdrag betreffende de werking van de Europese Unie (hierna : het VWEU).

B.19.2.3. Overweging 19 van de « AVG » bepaalt : « De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en het vrije verkeer van die gegevens wordt geregeld in een specifieke rechtshandeling van de Unie. Deze verordening mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Overeenkomstig deze verordening door overheidsinstanties verwerkte persoonsgegevens die voor die doeleinden worden gebruikt, moeten vallen onder een meer specifieke rechtshandeling van de Unie, namelijk Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad. De lidstaten kunnen bevoegde autoriteiten in de zin van Richtlijn (EU) 2016/680 taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebied van deze verordening valt, voor zover zij binnen het toepassingsgebied van de Uniewetgeving valt.

Aangaande de verwerking van persoonsgegevens door die bevoegde instanties voor doeleinden die binnen het toepassingsgebied van deze verordening vallen, moeten de lidstaten meer specifieke bepalingen kunnen handhaven of invoeren om de toepassing van de regels van deze verordening aan te passen. In die bepalingen kunnen meer bepaald specifieke voorschriften voor de verwerking van persoonsgegevens door die bevoegde instanties voor de genoemde andere doeleinden worden vastgesteld, rekening houdend met de grondwettelijke, organisatorische en bestuurlijke structuur van de lidstaat in kwestie. Wanneer de verwerking van persoonsgegevens door privaatrechtelijke organen onder de onderhavige verordening valt, moet deze verordening voorzien in de mogelijkheid dat de lidstaten onder specifieke voorwaarden bij wet vastgestelde verplichtingen en rechten beperken, indien een dergelijke beperking in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter bescherming van specifieke belangen van betekenis, waaronder de openbare veiligheid en de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Dit is bijvoorbeeld van belang in het kader van de bestrijding van witwassen of de werkzaamheden van forensische laboratoria ».

Zoals uit die overweging blijkt, valt de verwerking van persoonsgegevens door bevoegde instanties met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen in principe niet onder de « AVG », maar onder de richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 « betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad » (hierna : de Politierichtlijn).

B.19.2.4. De Politierichtlijn stelt, op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, specifieke regels vast betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, met inachtneming van de specifieke aard van die activiteiten.

Artikel 1, lid 1, van de Politierichtlijn bepaalt : « Bij deze richtlijn worden de regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid ».

Artikel 9, leden 1 en 2, van dezelfde richtlijn bepaalt : « 1. Persoonsgegevens die door bevoegde autoriteiten voor de in artikel 1, lid 1 omschreven doeleinden worden verzameld, worden niet verwerkt voor andere doeleinden, tenzij die verwerking krachtens het Unierecht of het lidstatelijke recht is toegestaan. Wanneer persoonsgegevens voor zulke andere doeleinden worden verwerkt, is Verordening (EU) 2016/679 van toepassing, tenzij de verwerking geschiedt in het kader van een activiteit die buiten de werkingssfeer van het Unierecht valt. 2. Wanneer aan bevoegde autoriteiten krachtens het lidstatelijke recht andere taken dan die ter verwezenlijking van de in artikel 1, lid 1, omschreven doeleinden worden toevertrouwd, is Verordening (EU) 2016/679 van toepassing op verwerking voor die doeleinden, waaronder archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, tenzij de verwerking geschiedt in het kader van een activiteit die buiten de werkingssfeer van het Unierecht valt ». Overweging 11 van de Politierichtlijn preciseert in dat verband : « [...] Die bevoegde autoriteiten kunnen niet alleen overheidsinstanties zoals de rechterlijke autoriteiten, de politie of andere rechtshandhavingsautoriteiten omvatten, maar ook ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen voor de doeleinden van deze richtlijn. Wanneer dat orgaan of die entiteit persoonsgegevens verwerkt voor andere doeleinden dan die van deze richtlijn, is Verordening (EU) 2016/679 van toepassing.

Verordening (EU) 2016/679 is dan ook van toepassing in gevallen waarin een orgaan of entiteit persoonsgegevens verzamelt voor andere doeleinden en die persoonsgegevens verder verwerkt met het oog op nakoming van een wettelijke verplichting waaraan het orgaan of de entiteit is onderworpen. Zo bewaren financiële instellingen met het oog op onderzoek, opsporing of vervolging van strafbare feiten bepaalde persoonsgegevens die door hen worden verwerkt, en verstrekken zij die persoonsgegevens uitsluitend in specifieke gevallen en overeenkomstig het lidstatelijke recht aan de bevoegde nationale autoriteiten. Een orgaan dat of entiteit die namens die autoriteiten persoonsgegevens verwerkt binnen het toepassingsgebied van deze richtlijn, dient gebonden te zijn door een overeenkomst of een andere rechtshandeling en door de ingevolge deze richtlijn op verwerkers toepasselijke bepalingen, terwijl Verordening (EU) 2016/679 onverminderd van toepassing blijft op de verwerking van persoonsgegevens door de verwerker die buiten het toepassingsgebied van deze richtlijn valt ».

Overweging 34 van de Politierichtlijn preciseert ook : « [...] Wanneer de persoonsgegevens in eerste instantie zijn verzameld door een bevoegde autoriteit voor een van de doeleinden van deze richtlijn, moet Verordening (EU) 2016/679 van toepassing zijn op de doorzending van die gegevens voor andere doeleinden dan die van deze richtlijn, indien deze verwerking is toegestaan bij het Unierecht of het lidstatelijke recht. Meer bepaald dienen de bepalingen van Verordening (EU) 2016/679 van toepassing te zijn op de doorgifte van persoonsgegevens voor doeleinden die niet onder deze richtlijn vallen.

Verordening (EU) 2016/679 dient van toepassing te zijn op de verwerking van persoonsgegevens door een ontvanger die niet de bevoegde autoriteit is of die niet optreedt als bevoegde autoriteit in de zin van deze richtlijn en aan wie de persoonsgegevens rechtmatig zijn bekendgemaakt door een bevoegde autoriteit [...] ».

B.19.3.1. De wet van 25 december 2016 organiseert de verzameling en de doorgifte van « PNR-gegevens », de oprichting van een passagiersgegevensbank, die wordt beheerd door de « Passagiersinformatie-eenheid » (hierna : de PIE), de doelstellingen van de verwerking van die gegevensbank en de toegang tot die laatste.

De wet van 25 december 2016 zet hoofdzakelijk de « PNR-richtlijn » om, maar heeft ook, zoals aangegeven in artikel 2 ervan, een inhoud die verder gaat dan de omzetting van die richtlijn.

B.19.3.2. In zijn advies 1/15 van 26 juli 2017 betreffende het ontwerp van overeenkomst tussen Canada en de Europese Unie over de doorgifte en verwerking van persoonsgegevens van luchtreizigers, oordeelde het Hof van Justitie dat de bepalingen van die overeenkomst twee doelstellingen nastreefden, zodat de voorgenomen overeenkomst « twee componenten [bevatte], waarvan de ene betrekking heeft op de noodzaak om de openbare veiligheid te verzekeren en de andere op de bescherming van de PNR-gegevens » (HvJ, grote kamer, 26 juli 2017, advies 1/15, punt 90). In het licht van die twee componenten, die onlosmakelijk met elkaar verbonden zijn en allebei als essentieel moeten worden aangemerkt (ibid., punt 94), oordeelde het Hof van Justitie dat het besluit van de Raad betreffende de sluiting van de voorgenomen overeenkomst dus zowel op artikel 16, lid 2, VWEU als op artikel 87, lid 2, a), VWEU dient te worden gebaseerd, « tenzij een dergelijke combinatie van rechtsgronden uitgesloten is » omdat de procedures die voor de twee rechtsgrondslagen zijn voorgeschreven, onverenigbaar zijn (ibid., punt 104).

Bepalingen die het verzamelen, de doorgifte en de verwerking van « PNR-gegevens » organiseren, kunnen dus zowel onder de bescherming van gegevens (artikel 16 van het VWEU) als onder de politiële samenwerking (artikel 87 van het VWEU) vallen.

B.19.3.3. Overweging 5 van de « PNR-richtlijn » geeft aan dat de doelstellingen van die richtlijn « onder meer [zijn] de veiligheid te waarborgen, het leven en de veiligheid van personen te beschermen, en een wettelijk kader te scheppen voor de bescherming van PNR-gegevens bij de verwerking door bevoegde autoriteiten ».

Overweging 38 van de « PNR-richtlijn » geeft evenwel aan dat de doelstellingen van de richtlijn « de doorgifte door luchtvaartmaatschappijen van PNR-gegevens en de verwerking daarvan voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit » zijn, waardoor die doelstellingen zouden kunnen doorwegen op de doelstelling van bescherming van de gegevens.

B.19.4. Het Hof stelt overigens vast dat artikel 15, eerste lid, van de wet van 30 juli 2018 bepaalt : « In toepassing van artikel 23 van de Verordening, zijn de artikelen 12 tot 22 en 34 van de Verordening, evenals het principe van transparantie van de verwerking bedoeld in artikel 5 van de Verordening, niet van toepassing op de verwerkingen van persoonsgegevens door de Passagiersinformatie-eenheid zoals bedoeld in hoofdstuk 7 van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens ».

Die bepaling sluit dus niet de gehele wet van 25 december 2016 uit van het toepassingsgebied van artikel 23 van de « AVG ».

B.19.5. Om bijgevolg te bepalen of de vereisten vervat in artikel 23 van de « AVG » van toepassing zijn op de wet van 25 december 2016 die, zoals vermeld in B.2.2, onder meer en hoofdzakelijk de « PNR-richtlijn » omzet, dient de in het dictum vermelde eerste prejudiciële vraag te worden gesteld aan het Hof van Justitie van de Europese Unie.

B.19.6. Voor het overige is de door de Ministerraad opgeworpen exceptie van onontvankelijkheid verbonden aan de draagwijdte van de wet van 25 december 2016, zodat het onderzoek ervan samenvalt met dat van de grond van de zaak.

Wat de volgorde van het onderzoek van de middelen betreft B.20. Uit het onderzoek van het eerste middel en van de bestreden bepalingen blijkt dat de verzoekende partij meerdere aspecten van de wet van 25 december 2016 bekritiseert, die het Hof in onderstaande volgorde onderzoekt : 1. de uitvoeringsmodaliteiten van de wet van 25 december 2016 (artikelen 3, § 2, en 7, § 3);2. de begrippen « identiteitsdocumenten » en « reisdocumenten » (artikel 7, §§ 1 en 2);3. de beoogde gegevens (artikelen 4, 9°, en 9);4. het begrip « passagier » (artikel 4, 10°);5. de doelstellingen van de verwerking van « PNR-gegevens » (artikel 8);6. het beheer van de passagiersgegevensbank en de gegevensverwerking in het kader van de voorafgaande beoordeling van passagiers en van gerichte opzoekingen (artikelen 12 tot 16 en 24 tot 27, en artikelen 50 en 51);7. de bewaartermijn van « PNR-gegevens » (artikel 18). 1. De uitvoeringsmodaliteiten van de wet van 25 december 2016 (artikelen 3, § 2, en 7, § 3) B.21. De verzoekende partij is in de eerste plaats van mening dat, in zoverre zij aan de Koning de zorg toevertrouwen om essentiële elementen te bepalen, de artikelen 3, § 2, en 7, § 3, van de wet van 25 december 2016 het wettigheidsbeginsel dat wordt gewaarborgd door de in het middel beoogde bepalingen, schenden.

B.22.1. Doordat artikel 22 van de Grondwet aan de bevoegde wetgever de bevoegdheid voorbehoudt om vast te stellen in welke gevallen en onder welke voorwaarden afbreuk kan worden gedaan aan het recht op eerbiediging van het privéleven, waarborgt het aan elke burger dat geen enkele inmenging in dat recht kan plaatsvinden dan krachtens regels die zijn aangenomen door een democratisch verkozen beraadslagende vergadering.

Een delegatie aan een andere macht is evenwel niet in strijd met het wettigheidsbeginsel voor zover de machtiging voldoende nauwkeurig is omschreven en betrekking heeft op de tenuitvoerlegging van maatregelen waarvan de essentiële elementen voorafgaandelijk door de wetgever zijn vastgesteld.

B.22.2. Naast het formele wettigheidsvereiste legt artikel 22 van de Grondwet eveneens de verplichting op dat de inmenging in het recht op eerbiediging van het privéleven in duidelijke en voldoende nauwkeurige bewoordingen wordt geformuleerd die het mogelijk maken de hypothesen te voorzien waarin de wetgever een dergelijke inmenging in het recht op eerbiediging van het privéleven toestaat.

Evenzo houdt de vereiste van voorzienbaarheid waaraan de wet moet voldoen om in overeenstemming te zijn met artikel 8 van het Europees Verdrag voor de rechten van de mens, in dat de formulering ervan voldoende precies is zodat eenieder - desnoods met gepast advies - in de gegeven omstandigheden in redelijke mate de gevolgen van een bepaalde handeling kan voorzien (EHRM, grote kamer, 4 mei 2000, Rotaru t. Roemenië, § 55;grote kamer, 17 februari 2004, Maestri t. Italië, § 30). De wetgeving moet eenieder een voldoende indicatie geven over de omstandigheden waarin en de voorwaarden waaronder de overheden gebruik mogen maken van maatregelen die raken aan de rechten gewaarborgd door het Verdrag (EHRM, grote kamer, 12 juni 2014, Fernàndez MartAainez t. Spanje, § 117).

B.22.3. Uit artikel 8 van het Europees Verdrag voor de rechten van de mens en artikel 22 van de Grondwet volgt aldus dat voldoende precies moet worden bepaald in welke omstandigheden een verwerking van persoonsgegevens is toegelaten (EHRM, grote kamer, 4 mei 2000, Rotaru t. Roemenië, § 57;grote kamer, 4 december 2008, S. en Marper t.

Verenigd Koninkrijk, § 99).

De vereiste graad van precisie van de betrokken wetgeving - die niet in elke hypothese kan voorzien - is, volgens het Europees Hof voor de Rechten van de Mens, onder meer afhankelijk van het domein dat wordt gereguleerd en van het aantal en de hoedanigheid van de personen tot wie de wet is gericht (EHRM, grote kamer, 4 december 2008, S. en Marper t. Verenigd Koninkrijk, §§ 95 en 96). Zo heeft het Europees Hof voor de Rechten van de Mens geoordeeld dat de vereiste van voorzienbaarheid in domeinen die te maken hebben met de nationale veiligheid, niet dezelfde draagwijdte kan hebben als in andere domeinen (EHRM, 26 maart 1987, Leander t. Zweden, § 51; 8 juni 2006, Lupsa t. Roemenië, § 33).

B.22.4. Het Hof van Justitie is eveneens van oordeel dat « het vereiste volgens hetwelk elke beperking op de uitoefening van grondrechten bij wet moet worden gesteld, inhoudt dat de rechtsgrond die de inmenging in die rechten toestaat zelf de reikwijdte van de beperking op de uitoefening van het betrokken recht moet bepalen » (HvJ, 17 december 2015, C-419/14, WebMindLicenses, punt 81; grote kamer, 26 juli 2017, advies 1/15, punt 139).

B.23.1. De bestreden bepalingen machtigen de Koning om bij een in Ministerraad overlegd besluit, per vervoerssector en voor de reisoperatoren, enerzijds, de passagiersgegevens die moeten worden doorgestuurd en de nadere regels voor het doorsturen, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer - die de Gegevensbeschermingsautoriteit is geworden -, te bepalen (artikel 3, § 2) en, anderzijds, de nadere regels met betrekking tot de verplichting voor de vervoerders en reisoperatoren om zich ervan te verzekeren dat die gegevens, waarover zij beschikken, volledig, juist en actueel zijn, door de overeenstemming tussen de reisdocumenten en de identiteit van de betrokken passagier te controleren (artikel 7, § 3). Die maatregelen vormen, zoals is vermeld in B.17.4.4, een inmenging in het recht op eerbiediging van het privé- en gezinsleven.

B.23.2. Eenieder dient voldoende precies te weten in welke omstandigheden en onder welke voorwaarden een inmenging in zijn privéleven, in het bijzonder door de geautomatiseerde verwerking van persoonsgegevens, is toegelaten. Derhalve moet eenieder een voldoende duidelijk inzicht hebben in de gegevens die worden verwerkt, de betrokkenen bij, de voorwaarden voor en de doeleinden van de verwerking.

B.23.3. Er dient te worden onderzocht of, gezien de verschillende elementen die vervat zijn in de wet van 25 december 2016, eenieder die betrokken is bij het verzamelen, de doorgifte en de verwerking van « PNR-gegevens » voldoende precies kan weten wanneer en onder welke voorwaarden die verzameling, die doorgifte en die verwerking zijn toegelaten, in voorkomend geval, volgens technische modaliteiten die door de Koning zijn bepaald.

B.24.1. Artikel 4, 9°, van de wet van 25 december 2016 definieert de « PNR » als « het bestand met de reisgegevens van iedere passagier, dat de in artikel 9 bedoelde informatie bevat, die de boekende en de deelnemende vervoerders en reisoperatoren nodig hebben om reserveringen te kunnen verwerken en controleren bij elke reis die door of namens iemand wordt geboekt; dit bestand kan zich bevinden in een reserveringssysteem, een vertrekcontrolesysteem (voor de controle van vertrekkende passagiers) of een soortgelijk systeem dat dezelfde functies vervult ».

Wat de gegevens van de check-in-status en het instappen betreft, zijn de voorafgaande gegevens (« API-gegevens » - Advanced Passenger Information) bedoeld in artikel 9, § 1, 18°, exhaustief opgesomd in de zestien punten van artikel 9, § 2, van de wet van 25 december 2016.

Wat de reservatiegegevens betreft, bevatten de passagiersgegevens (« PNR-gegevens » - Passenger Name Record) maximaal de negentien elementen die exhaustief zijn opgesomd in artikel 9, § 1, van de wet van 25 december 2016, waaronder de « API-gegevens » bedoeld in artikel 9, § 1, 18°.

B.24.2. Krachtens artikel 5 van de wet van 25 december 2016 worden de « PNR-gegevens » verzameld door de vervoerders en reisoperatoren en doorgestuurd met het oog op de registratie ervan in de passagiersgegevensbank bedoeld in artikel 15, die wordt beheerd door de PIE, die is opgericht binnen de Federale Overheidsdienst Binnenlandse Zaken (artikelen 12 en volgende). De passagiers worden geïnformeerd over het feit dat hun gegevens worden doorgestuurd naar de PIE en dat die gegevens achteraf kunnen worden verwerkt voor de in artikel 8 beoogde doelen (artikel 6).

De doeleinden van de verwerking van « PNR-gegevens » zijn opgesomd in artikel 8 van de wet van 25 december 2016 : het gaat, enerzijds, om het opsporen en vervolgen van misdrijven (artikel 8, § 1) en, anderzijds, onder de voorwaarden bepaald in hoofdstuk 11, om de verbetering van de controles van personen aan de buitengrenzen en de bestrijding van illegale immigratie (artikel 8, § 2).

In het kader van de doeleinden beoogd in artikel 8, § 1, bepaalt artikel 16 van de wet van 25 december 2016 dat de passagiersgegevensbank rechtstreeks toegankelijk is door de PIE voor de verwerkingen bedoeld in de artikelen 24 tot 27, overeenkomstig de bepalingen waarin hoofdstuk 9 voorziet.

In het kader van de doeleinden beoogd in artikel 8, § 2, worden enkel de passagiersgegevens bedoeld in artikel 9, § 1, 18° (« API-gegevens ») doorgegeven voor de categorieën van passagiers die worden beoogd in artikel 29, § 2, van de wet van 25 december 2016.

De bewaartermijn van de gegevens is vastgesteld bij de artikelen 18 en volgende van de wet van 25 december 2016.

B.24.3. Rekening houdend met het voorgaande, bevat de wet van 25 december 2016 de elementen van de definitie van de verwerkte gegevens, van de personen die bij die gegevensverwerking betrokken zijn alsook de voorwaarden en doeleinden van die verwerking.

Thans dienen de delegaties vervat in de artikelen 3, § 2, en 7, § 3, van de wet van 25 december 2016 te worden onderzocht. a) Artikel 3, § 2, van de wet van 25 december 2016 B.25.1. Wat het toepassingsgebied van de wet van 25 december 2016 betreft, zet de parlementaire voorbereiding van de wet van 25 december 2016 uiteen : « De Europese richtlijn PNR voorziet in de verzameling van passagiersgegevens in de eerste plaats voor het luchtverkeer. Dit verhindert de lidstaten niet om een nationale regelgeving aan te nemen waarbij ook andere transportmodi worden betrokken aangezien de EU PNR-richtlijn expliciet de mogelijkheid aan de lidstaten laat om deze verplichting op te leggen aan andere vervoerders.

De Europese richtlijn PNR creëert eveneens expliciet de mogelijkheid dat de lidstaten krachtens hun nationaal recht, en overeenkomstig de fundamentele principes van de Unie, een systeem kunnen opzetten voor het verzamelen en verwerken van PNR-gegevens van marktdeelnemers die geen luchtvaartmaatschappij zijn, zoals reisbureaus en touroperators die diensten in verband met reizen aanbieden, met inbegrip van het boeken van vluchten, waarvoor zij PNR-gegevens verzamelen en verwerken, of van andere vervoerders dan de in de richtlijn bepaald.

Het wetsontwerp van wet voorziet in die zin in de wettelijke verplichting voor reisoperatoren om de passagiersgegevens door te sturen naar de passagiersgegevensbank » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, p. 8).

B.25.2.1. Artikel 3, § 2, van de wet van 25 december 2016, zoals het is gewijzigd bij artikel 2 van de wet van 2 mei 2019, bepaalt : « De Koning bepaalt bij een in Ministerraad overlegd besluit, per vervoerssector en voor de reisoperatoren, de passagiersgegevens die moeten worden doorgestuurd en de nadere regels voor het doorsturen, na advies van de bevoegde toezichthoudende autoriteit voor de verwerking van persoonsgegevens ».

B.25.2.2. Wat die bepaling betreft, wordt in de parlementaire voorbereiding van de wet van 25 december 2016 uiteengezet : « Artikel 3 streeft er enkel naar het toepassingsgebied van de wet meteen te bepalen ten aanzien van de professionele vervoerders van personen en de reisoperatoren. De vervoerders en de reisoperatoren moeten niet meer gegevens verzamelen dan deze waarover ze beschikken.

Teneinde maximaal rekening te houden met de specificiteit van elke vervoersector en van de operatoren, zal een koninklijk besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, voor elke sector bepalen welke passagiersgegevens (vermeld in artikel 9) juist moeten worden doorgegeven en volgens welke nadere modaliteiten.

Opdat er rekening kan worden gehouden met de specificiteit van de verschillende transportsectoren, heeft de wetgever voorzien in een ruime delegatie aan de Koning. Bij het opstellen van de KB's zal toegezien worden op de door de Europese Commissie benadrukte naleving van het relevantiebeginsel en het proportionaliteitsbeginsel in het licht van de doelstellingen van de wet en de gelijke behandeling tussen de economische actoren van de verschillende transportsectoren » (ibid., p. 15).

B.25.2.3. Met betrekking tot de machtiging die vervat is in artikel 3, § 2, van de wet van 25 december 2016, formuleerde de afdeling wetgeving van de Raad van State de volgende opmerkingen : « Voor de tenuitvoerlegging van artikel 3 moet er dan ook rekening mee worden gehouden dat de Koning enkel gemachtigd wordt om te bepalen welke van de in artikel 9 van het voorontwerp vermelde gegevens de vervoerders, naargelang van de sector waartoe ze behoren, moeten doorsturen.

Daaruit volgt dat pas na het opstellen van het ontwerp of de ontwerpen van koninklijk besluit gecontroleerd zal kunnen worden of de persoonsgegevens van de passagiers die de vervoerder moet verzamelen en doorsturen, noodzakelijk, toereikend, ter zake dienend en evenredig zijn in het licht van de doelstellingen. Bij de huidige stand van het dispositief is de afdeling Wetgeving niet in staat om een dergelijke controle uit te voeren.

Hetzelfde geldt in verband met de naleving van het beginsel van de gelijke behandeling van de economische actoren in de verschillende vervoerssectoren en van de passagiers bij de vaststelling van dat koninklijk besluit of die koninklijke besluiten. Ook op dat punt beschikt de afdeling Wetgeving momenteel niet over voldoende gegevens om zich met kennis van zaken te kunnen uitspreken » (ibid., p. 92).

B.26.1. Artikel 3, § 2, van de wet van 25 december 2016 machtigt de Koning om, per vervoerssector en voor de reisoperatoren, de passagiersgegevens die moeten worden doorgestuurd en de nadere regels voor het doorsturen ervan te bepalen.

Overeenkomstig artikel 3, § 2, van de wet van 25 december 2016, is het advies van de Commissie voor de bescherming van de persoonlijke levenssfeer - die de Gegevensbeschermingsautoriteit is geworden - vereist voor de aanneming van het koninklijk besluit dat, per vervoerssector en voor de reisoperatoren, de passagiersgegevens bepaalt die moeten worden doorgestuurd, alsook de nadere regels voor het doorsturen ervan.

B.26.2. De in artikel 3, § 2, van de wet van 25 december 2016 vervatte machtiging maakt het in eerste instantie mogelijk de verplichtingen die zijn vastgelegd bij de wet van 25 december 2016, aan te passen per vervoerssector en voor de reisoperatoren, waarop de wet van 25 december 2016 van toepassing is gemaakt.

Zoals is vermeld in B.2.2 en B.25.1, is de « PNR-richtlijn » vooral bedoeld voor de luchtvaartsector, maar staat het de lidstaten vrij het « PNR-systeem » uit te breiden tot andere vervoerssectoren. Zoals vermeld in B.7 tot B.10, hebben de koninklijke besluiten van 18 juli 2017 en 3 februari 2019 de wet van 25 december 2016 van toepassing gemaakt op, respectievelijk, de luchtvaartmaatschappijen, de busvervoerders en de HST-vervoerders en HST-ticketverdelers.

Hoofdstuk 1 van het koninklijk besluit van 18 juli 2017 preciseert dat dit besluit de « API-richtlijn » en de « PNR-richtlijn » gedeeltelijk omzet. Na een definitie van de termen die erin worden gebruikt (hoofdstuk 2 van het koninklijk besluit van 18 juli 2017 en hoofdstuk 1 van de koninklijke besluiten van 3 februari 2019), worden de nadere regels met betrekking tot de verplichtingen van, respectievelijk, de luchtvaartmaatschappijen, de busvervoerders en de HST-vervoerders en HST-ticketverdelers (hoofdstuk 3 van het koninklijk besluit van 18 juli 2017 en hoofdstuk 2 van de koninklijke besluiten van 3 februari 2019), de modaliteiten van doorgifte van de passagiersgegevens (hoofdstuk 4 van het koninklijk besluit van 18 juli 2017 en hoofdstuk 3 van de koninklijke besluiten van 3 februari 2019), en de datum van de inwerkingtreding van de wet van 25 december 2016 ten aanzien van de beoogde vervoerssector (hoofdstuk 5 van het koninklijk besluit van 18 juli 2017 en hoofdstuk 4 van de koninklijke besluiten van 3 februari 2019) bepaald. B.26.3. De verzoekende partij bekritiseert niet het feit dat de in artikel 3, § 2, van de wet van 25 december 2016 vervatte machtiging de Koning in staat stelt om verschillende vervoerssectoren te beogen, maar enkel het feit dat die machtiging betrekking heeft op de passagiersgegevens en op de nadere regels voor het doorsturen ervan.

B.26.4.1. Wat betreft de kritiek op de betrokken gegevens, heeft de in artikel 3, § 2, van de wet van 25 december 2016 vervatte machtiging evenwel enkel betrekking op de selectie van de passagiersgegevens die moeten worden doorgestuurd, per vervoerssector en voor de reisoperatoren, uit de passagiersgegevens die wettelijk en exhaustief zijn opgesomd in artikel 9 van de wet van 25 december 2016.

Dat oordeelde overigens de afdeling wetgeving van de Raad van State : « Voor de tenuitvoerlegging van artikel 3 moet er dan ook rekening mee worden gehouden dat de Koning enkel gemachtigd wordt om te bepalen welke van de in artikel 9 van het voorontwerp vermelde gegevens de vervoerders, naargelang van de sector waartoe ze behoren, moeten doorsturen » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, p. 92).

Op dezelfde wijze oordeelde de Commissie voor de bescherming van de persoonlijke levenssfeer : « De Commissie merkt overigens op dat hoewel artikel 3, § 2 van de PNR-wet erin voorziet dat de door te geven passagiersgegevens bepaald worden bij koninklijk besluit, deze gegevens - terecht - rechtstreeks worden vastgesteld in de wet, in artikel 9 van de PNR-wet. Die gegevens zijn overigens afkomstig uit bijlage 1 van de PNR-richtlijn waarnaar de artikelen 6 en 8 van die richtlijn verwijzen » (Commissie voor de bescherming van de persoonlijke levenssfeer, advies nr. 23/2017 van 24 mei 2017, punt 10; zie ook Gegevensbeschermingsautoriteit, advies nr. 85/2018 van 26 september 2018, punt 12).

De Koning zou dus niet kunnen voorzien in de doorgifte van nieuwe gegevens, die niet zijn opgenomen in artikel 9 van de wet van 25 december 2016 (zie in die zin : Gegevensbeschermingsautoriteit, advies nr. 85/2018 van 26 september 2018, punt 15).

B.26.4.2. De machtiging die vervat is in artikel 3, § 2, van de wet van 25 december 2016 staat overigens de Koning toe de nadere regels voor het doorsturen van passagiersgegevens te bepalen, per vervoerssector en voor de reisoperatoren.

Die machtiging heeft dus enkel betrekking op louter technische aspecten van de doorgifte van passagiersgegevens.

Het koninklijk besluit van 18 juli 2017 preciseert de methode en de tijdstippen van doorgifte van passagiersgegevens door de luchtvaartmaatschappijen. Dat koninklijk besluit organiseert de « push »-methode - methode waarvoor is geopteerd in artikel 8 van de « PNR-richtlijn », volgens welke de luchtvaartmaatschappijen de « PNR-gegevens » doorgeven aan de bevoegde instantie zonder dat die laatste, zoals in de « pull »-methode, ze uit het reserveringssysteem moet halen -, waarin is voorzien voor het doorgeven van passagiersgegevens aan de passagiersgegevensbank. De parlementaire voorbereiding van de wet van 25 december 2016 had overigens aangegeven dat die « push »-methode « een beter niveau van gegevensbescherming biedt » en « dus de voorkeur [geniet] » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, p. 16). Voor het overige zijn de dataformaten en protocollen van doorgifte die door de luchtvaartmaatschappijen moeten worden gebruikt, vastgesteld in het uitvoeringsbesluit (EU) 2017/759 van de Commissie van 28 april 2017 « betreffende de door luchtvaartmaatschappijen te gebruiken gemeenschappelijke protocollen en dataformaten bij het doorgeven van PNR-gegevens aan passagiersinformatie-eenheden ».

De koninklijke besluiten van 3 februari 2019 bepalen de methode en de tijdstippen van doorgifte van de gegevens door respectievelijk de busvervoerders en door de HST-vervoerders en -ticketverdelers. Die koninklijke besluiten voorzien erin dat het dataformaat, het doorgifteprotocol en de technische organisatie van de doorgifte zullen worden vastgelegd in het protocolakkoord dat wordt afgesloten tussen de leidend ambtenaar van de PIE en de betrokken vervoerder/reisoperator.

Ten slotte bepalen de koninklijke besluiten van 18 juli 2017 en 3 februari 2019 dat de gegevens worden doorgestuurd 48 uur vóór de geplande vertrektijd en zodra de passagiers aan boord zijn gegaan van het vliegtuig, de bus of de hogesnelheidstrein dat of die klaarstaat voor vertrek, waarbij die gegevens beveiligd worden. Het verslag aan de Koning dat voorafgaat aan het koninklijk besluit van 18 juli 2017 preciseert dat dit « op geen enkele manier de lastminuteboekingen of lastminutewijzigingen [verhindert] aangezien bij de tweede doorgifte de meest actuele informatie wordt doorgestuurd » (Belgisch Staatsblad van 28 juli 2017, p. 75934).

B.26.5. De machtiging die vervat is in artikel 3, § 2, van de wet van 25 december 2016 maakt het dus mogelijk de passagiersgegevens te identificeren onder de gegevens die wettelijk zijn vastgelegd in artikel 9 van de wet van 25 december 2016, en de nadere regels voor het doorsturen van « PNR-gegevens » te bepalen op grond van de specificiteit van elke vervoerssector waarop de wet van 25 december 2016 van toepassing is verklaard.

Zoals is vermeld in B.22.1, is zulke delegatie niet in strijd met het in artikel 22 van de Grondwet vervatte wettigheidsbeginsel, nu die machtiging enkel betrekking heeft op de tenuitvoerlegging van maatregelen waarvan de essentiële elementen door de wetgever zijn vastgesteld, zoals in B.24 is uiteengezet.

In voorkomend geval staat het aan de bevoegde rechter na te gaan of de aanwending door de Koning van die machtiging in overeenstemming is met de in het middel aangevoerde grondwets- en verdragsbepalingen, zoals zij zijn toegelicht in B.22. b) Artikel 7, § 3, van de wet van 25 december 2016 B.27.1. Artikel 7 van de wet van 25 december 2016 bepaalt : « § 1. De vervoerders sturen de passagiersgegevens bedoeld in artikel 9, § 1, waarover zij beschikken, door en verzekeren zich ervan dat de passagiersgegevens bedoeld in artikel 9, § 1, 18°, waarover zij beschikken, volledig, juist en actueel zijn. Hiervoor controleren zij de overeenstemming tussen de reisdocumenten en de identiteit van de betrokken passagier. § 2. De reisoperatoren sturen de passagiersgegevens bedoeld in artikel 9, § 1, waarover zij beschikken, door en verzekeren zich ervan dat de passagiersgegevens bedoeld in artikel 9, § 1, 18°, waarover zij beschikken, volledig, juist en actueel zijn. Hiervoor nemen ze alle noodzakelijke maatregelen om de overeenstemming tussen de reisdocumenten en de identiteit van de betrokken passagier te controleren. § 3. De Koning bepaalt bij een in Ministerraad overlegd besluit, per vervoerssector en voor de reisoperatoren, de nadere regels met betrekking tot de verplichting bepaald in §§ 1 en 2 ».

B.27.2.1. Wat die bepaling betreft, wordt in de parlementaire voorbereiding van de wet van 25 december 2016 uiteengezet : « Het Thalys-incident heeft opnieuw aangetoond hoe belangrijk het is om de verplaatsingen van bepaalde individuen in kaart te kunnen brengen. De verplichting om een vervoerbewijs op naam uit te geven, heeft weinig zin indien de bevoegde instanties niet eens controleren of de juiste persoon reist met dit vervoerbewijs. Dit gebrek aan controle leidt er ook toe dat onze diensten niet eens weten of verdachte individuen die op een lijst staan, het vliegtuig of de trein, de bus of de boot nemen om een internationale reis uit te voeren.

Er bestaat geen enkele Europese verplichting voor vervoerders om de overeenstemming tussen de identiteit en het vervoerbewijs te controleren. Niettemin zijn er negen Europese lidstaten die deze wettelijke verplichting opleggen aan onder meer luchtvaartmaatschappijen (onder andere Portugal, Spanje, Italië, Griekenland, Bulgarije, Hongarije en Roemenië).

De Belgische wetgeving voorzag tot op heden niet in deze verplichting.

Het spreekt voor zich dat de verplichting voor vervoerders en reisoperatoren om passagiersgegevens waarover deze beschikken door te geven, moet kunnen worden gebaseerd op een verplichting om de overeenstemming van de documenten te controleren.

Deze verplichting houdt rekening met de specificiteit van de vervoerders en reisoperatoren. In dit opzicht zullen de reisoperatoren worden onderworpen aan een middelenverbintenis.

De identiteit van de passagier kan vastgesteld worden aan de hand van een authentiek document dat in het land van de betrokken passagier aanvaard wordt als geldig identiteitsdocument. Dit om geen beperking op het vrij verkeer van personen binnen de Schengenruimte te creëren » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, pp. 16-17).

De minister van Veiligheid en Binnenlandse Zaken preciseerde eveneens dat « de controle op de geldigheid van identiteitsdocumenten [...] niet tot [de] verantwoordelijkheden [van de vervoerders en reisoperatoren behoort] » (Parl. St., Kamer, 2015-2016, DOC 54-2069/003, p. 24).

B.27.2.2. Wat betreft de machtiging die vervat is in artikel 7, § 3, van de wet van 25 december 2016, formuleerde de afdeling wetgeving van de Raad van State de volgende opmerkingen : « Het principe en de nadere regels van die nieuwe verplichting, die los van iedere dwingende Europese tekst aan de vervoerders wordt opgelegd, moeten in overeenstemming zijn met artikel 22 van de Grondwet en met de wet van 8 december 1992, a fortiori wanneer die verplichting ook geldt voor de ' reisoperatoren ' die niet vallen onder richtlijn 2016/681/EU van het Europees Parlement en de Raad van 27 april 2016 ' over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit ' (hierna ' richtlijn 2016/681/EU ' genoemd). Bij de huidige stand van het dossier dat aan de afdeling Wetgeving is overgezonden, heeft zij zulks niet kunnen nagaan voor de nadere regels van de nieuwe verplichting, bepaald in artikel 6, § 3, van het voorontwerp, terwijl ze evenmin heeft kunnen controleren of het gelijkheidsbeginsel, gewaarborgd door de artikelen 10 en 11 van de Grondwet, in acht genomen wordt » (Parl.

St., Kamer, 2015-2016, DOC 54-2069/001, p. 93).

B.28.1. Krachtens artikel 7, § 3, van de wet van 25 december 2016 bepaalt de Koning bij een in Ministerraad overlegd besluit, per vervoerssector en voor de reisoperatoren, de nadere regels met betrekking tot de verplichting, voor de vervoerders en de reisoperatoren, om de « PNR-gegevens » (artikel 9, § 1) waarover zij beschikken door te sturen, maar ook om zich ervan te verzekeren dat de « API-gegevens » (artikel 9, § 1, 18°) « volledig, juist en actueel » zijn, door « de overeenstemming tussen de reisdocumenten en de identiteit van de betrokken passagier » te controleren.

Die verplichting strekt ertoe de doeltreffendheid van het systeem voor het verzamelen en doorgeven van passagiersgegevens aan de passagiersgegevensbank, waarvan het principe is vastgelegd bij artikel 5 van de wet van 25 december 2016 voor de vervoerders en reisoperatoren, te verzekeren.

B.28.2. Die bepaling machtigt dus de Koning om de nadere regels te bepalen volgens welke de vervoerders en reisoperatoren de juistheid van de voorafgaande gegevens van de check-in-status en het instappen verifiëren. Zoals wordt aangegeven in de parlementaire voorbereiding, creëert die bepaling slechts een middelenverbintenis.

B.28.3. De in artikel 7, § 3, van de wet van 25 december 2016 vervatte machtiging aan de Koning strekt ertoe de nadere regels van die verificatie van de juistheid van de gegevens aan te passen op grond van de specificiteit van elke vervoerssector.

In het verslag aan de Koning dat voorafgaat aan het koninklijk besluit van 18 juli 2017 wordt in dat verband uiteengezet : « De conformiteitscheck, beschreven in artikel 4 van huidig koninklijk besluit is erop gericht om na te gaan of de persoon die over het reisdocument beschikt voor een bepaald vervoer effectief de persoon is die aan boord van het vliegtuig gaat. Dit zal gedaan worden door de naam en voornaam vermeld op het reisdocument te vergelijken met de naam en voornaam op het identiteitsdocument. Het laten doorsturen van passagiersgegevens en het verwerken hiervan heeft geen zin als er geen zekerheid bestaat of de passagiers al dan niet aan boord gaan van het vliegtuig. Het uitvoeren van de conformiteitscheck draagt bij aan de accuraatheid van de gegevens.

Indien de luchtvaartmaatschappijen tenslotte vaststellen dat de passagiersgegevens, zoals bedoeld in artikel 9, § 1, 18° van de wet, waarover zij beschikken, niet juist, niet volledig of niet actueel zijn, nemen zij ten laatste naar aanleiding van de tweede doorgifte de noodzakelijke stappen teneinde deze te verbeteren. Met de passagiersgegevens zoals bedoeld in artikel 9, § 1, 18° van de wet worden de gegevens bedoeld die in artikel 9, § 2 van de wet zijn opgesomd, met name de check-in en de boarding gegevens, waarover de luchtvaartmaatschappijen beschikken. De gegevens zoals bedoeld in artikel 9, § 1, 18° viseren eveneens de gelijkaardige velden die zijn opgenomen in dezelfde paragraaf (zoals de naam en voornaam in artikel 9, § 1, 4° van de wet) » (Belgisch Staatsblad van 28 juli 2017, pp. 75934-75935).

Krachtens het koninklijk besluit van 18 juli 2017 en de koninklijke besluiten van 3 februari 2019 wordt die conformiteitscheck uitgevoerd op het ogenblik dat de passagiers aan boord gaan van het vliegtuig, de hogesnelheidstrein of de bus. Indien de betrokken vervoerders vaststellen dat de « API-gegevens » waarover zij beschikken niet actueel, niet juist of niet volledig zijn, nemen zij alle nodige maatregelen om die gegevens uiterlijk op het ogenblik van de tweede doorgifte, die plaatsvindt zodra de passagiers aan boord zijn gegaan van het vliegtuig, de bus of de hogesnelheidstrein, te corrigeren.

B.28.4. De in artikel 7, § 3, van de wet van 25 december 2016 vervatte machtiging betreft dus enkel de technische aspecten van een verplichting die was vastgelegd in de wet van 25 december 2016.

B.28.5. Zoals is vermeld in B.22.1, is zulk een delegatie niet strijdig met het in artikel 22 van de Grondwet vervatte wettigheidsbeginsel, aangezien die machtiging enkel betrekking heeft op de uitvoering van maatregelen waarvan de essentiële elementen door de wetgever zijn bepaald, zoals in B.24 is uiteengezet.

In voorkomend geval komt het de bevoegde rechter toe na te gaan of het gebruik, door de Koning, van die machtiging in overeenstemming is met de in het middel aangevoerde grondwets- en verdragsbepalingen, zoals zij in B.22 zijn gepreciseerd.

B.29. In zoverre het gericht is tegen de artikelen 3, § 2, en 7, § 3, van de wet van 25 december 2016, is het middel niet gegrond. 2. De begrippen « identiteitsdocumenten » en « reisdocumenten » (artikel 7, §§ 1 en 2) B.30. De verzoekende partij bekritiseert eveneens het ontbreken van een wettelijke definitie van de begrippen « identiteitsdocumenten » en « reisdocumenten », die worden beoogd in artikel 7, §§ 1 en 2, van de wet van 25 december 2016.

B.31.1. Het feit dat de wet van 25 december 2016 geen wettelijke definitie van de begrippen « identiteitsdocumenten » en « reisdocumenten » bevat, betekent niet dat het wettigheidsbeginsel zou zijn geschonden, op voorwaarde dat die begrippen geen rechtsonzekerheid doen ontstaan.

B.31.2. Vooreerst blijkt uit de parlementaire voorbereiding van de wet van 25 december 2016 dat de wetgever de « identiteitsdocumenten » in ruime zin bekeek, waarbij hij ervan uitging dat de identiteit van een passagier « vastgesteld [kan] worden aan de hand van een authentiek document dat in het land van de betrokken passagier aanvaard wordt als geldig identiteitsdocument » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, p. 17).

Die parlementaire voorbereiding laat dus toe het begrip « identiteitsdocumenten » te verduidelijken als een ruim begrip, dat niet afwijkt van zijn gewone betekenis in het land van herkomst van de passagier.

B.31.3. Die benadering wordt overigens bevestigd in de koninklijke besluiten van 18 juli 2017 en 3 februari 2019, die het begrip « identiteitsdocumenten » op dezelfde wijze definiëren als zijnde de « documenten uitgevaardigd door een officiële instantie, op basis waarvan de identiteit van de passagiers kan vastgesteld worden, zijnde nationale identiteitskaarten, internationaal erkende paspoorten of rechtsgeldige vervangende documenten » (artikel 2, 3°, van het koninklijk besluit van 18 juli 2017 (luchtvervoer); artikel 1, 6°, van het koninklijk besluit van 3 februari 2019 (HST-vervoer) en artikel 1, 4°, van het koninklijk besluit van 3 februari 2019 (busvervoer)).

B.32.1. Wat de « reisdocumenten » betreft, kon de wetgever oordelen dat er geen wettelijke definitie vereist was, omdat te dezen diende te worden gerefereerd aan de gewone betekenis van dat begrip, te weten de documenten die de passagier een « vervoerbewijs » verlenen, waarmee hij gebruik kan maken van het betrokken vervoersmiddel overeenkomstig de praktijk die eigen is aan de betrokken vervoerssector.

B.32.2. De definities die vervat zijn in de koninklijke besluiten van 18 juli 2017 en 3 februari 2019 bevestigen die benadering.

Zo definieert artikel 2, 4°, van het koninklijk besluit van 18 juli 2017 de « reisdocumenten » als zijnde de « documenten die de passagier een titel verschaffen voor het vervoer zoals bedoeld in artikel 4, 3°, van de wet », zijnde het luchtvervoer. Op dezelfde wijze definiëren de koninklijke besluiten van 3 februari 2019 de « reisdocumenten » als zijnde de documenten die de passagier een titel verschaffen voor het vervoer zoals bedoeld, respectievelijk, in het 4° en 5° van artikel 4 van de wet van 25 december 2016, zijnde het vervoer over de weg en het vervoer over het spoor.

B.33. In zoverre het gericht is tegen artikel 7, §§ 1 en 2, is het middel niet gegrond. 3. De beoogde gegevens (artikelen 4, 9°, en 9) B.34. De verzoekende partij is in de eerste plaats van mening dat het zeer ruime toepassingsgebied met betrekking tot de passagiersgegevens die worden beoogd in de artikelen 4, 9°, en 9, van de wet van 25 december 2016 kennelijk onevenredig is ten aanzien van het nagestreefde doel. De verzoekende partij is van mening dat op zijn minst de categorie van gegevens die worden beoogd in artikel 9, § 1, 12°, van de bestreden wet, zou moeten worden begrensd.

Bovendien zouden de beoogde gegevens, volgens de verzoekende partij, gevoelige gegevens, zoals het lidmaatschap van een vakorganisatie, de persoonlijke affiniteit en de persoonlijke of professionele relaties, kunnen onthullen.

B.35.1. Een overheidsinmenging in het recht op eerbiediging van het privéleven dient niet alleen te steunen op een voldoende precieze wettelijke bepaling, maar ook te beantwoorden aan een dwingende maatschappelijke behoefte in een democratische samenleving en evenredig te zijn met de daarmee nagestreefde wettige doelstelling.

De wetgever beschikt ter zake over een beoordelingsvrijheid. Die vrijheid is evenwel niet onbegrensd : opdat een wettelijke regeling verenigbaar is met het recht op eerbiediging van het privéleven, is vereist dat de wetgever een billijk evenwicht heeft ingesteld tussen alle rechten en belangen die in het geding zijn.

B.35.2. Bij de beoordeling van dat evenwicht houdt het Europees Hof voor de Rechten van de Mens onder meer rekening met het Verdrag nr. 108 (EHRM, 25 februari 1997, Z. t. Finland, § 95; grote kamer, 4 december 2008, S. en Marper t. Verenigd Koninkrijk, § 103).

Dat Verdrag nr. 108 bevat onder meer de beginselen inzake de verwerking van persoonsgegevens : rechtmatigheid, behoorlijkheid, transparantie, doelbinding, evenredigheid, juistheid, opslagbeperking, integriteit en vertrouwelijkheid, en verantwoordingsplicht.

Datzelfde Verdrag is geactualiseerd bij een protocol tot amendering dat op 10 oktober 2018 voor ondertekening is opengesteld.

B.35.3. Een inmenging in het recht op eerbiediging van het privéleven door middel van een verwerking van persoonsgegevens, te dezen door een toegang van overheidsdiensten tot en het gebruik van bepaalde persoonsgegevens via bijzondere technieken (EHRM, 26 maart 1987, Leander t. Zweden, § 48; grote kamer, 4 mei 2000, Rotaru t. Roemenië, § 46; HvJ, grote kamer, 8 april 2014, C-293/12, Digital Rights Ireland Ltd, en C-594/12, Kärntner Landesregierung e.a.) moet derhalve berusten op een redelijke verantwoording en dient evenredig te zijn met de door de wetgever nagestreefde doelstellingen.

B.35.4. Wat de evenredigheid betreft, houden het Europees Hof voor de Rechten van de Mens en het Hof van Justitie van de Europese Unie rekening met het al dan niet aanwezig zijn van de in B.22.2 vermelde materiële en procedurele waarborgen in de betrokken regeling.

Bij de beoordeling van de evenredigheid van maatregelen met betrekking tot de verwerking van persoonsgegevens, dient aldus rekening te worden gehouden met, onder meer, het geautomatiseerde karakter ervan, de gebruikte technieken, de accuraatheid, de pertinentie en het al dan niet buitensporige karakter van de gegevens die worden verwerkt, het al dan niet voorhanden zijn van maatregelen die de duur van de bewaring van de gegevens beperken, het al dan niet voorhanden zijn van een systeem van onafhankelijk toezicht dat toelaat na te gaan of de bewaring van de gegevens nog langer is vereist, het al dan niet voorhanden zijn van afdoende controlerechten en rechtsmiddelen voor de betrokkenen, het al dan niet voorhanden zijn van waarborgen ter voorkoming van stigmatisering van de personen van wie de gegevens worden verwerkt, het onderscheidend karakter van de regeling en het al dan niet voorhanden zijn van waarborgen ter voorkoming van foutief gebruik en misbruik van de verwerkte persoonsgegevens door de overheidsdiensten (EHRM, grote kamer, 4 mei 2000, Rotaru t. Roemenië, § 59; beslissing, 29 juni 2006, Weber en Saravia t. Duitsland, § 135; 28 april 2009, K.H. e.a. t. Slowakije, §§ 60-69; grote kamer, 4 december 2008, S. en Marper t. Verenigd Koninkrijk, §§ 101-103, 119, 122 en 124; 18 april 2013, M.K. t. Frankrijk, §§ 37 en 42-44; 18 september 2014, Brunet t. Frankrijk, §§ 35-37; 12 januari 2016, Szabó en Vissy t. Hongarije, § 68; HvJ, grote kamer, 8 april 2014, C-293/12, Digital Rights Ireland Ltd, en C-594/12, Kärntner Landesregierung e.a., punten 56-66).

B.35.5. In zijn advies 1/15 van 26 juli 2017 heeft het Hof van Justitie eveneens eraan herinnerd dat een inmenging in het recht op bescherming van de persoonsgegevens tot het « strikt noodzakelijke » moet worden beperkt : « 140. Wat de inachtneming van het evenredigheidsbeginsel betreft, vereist de bescherming van het grondrecht op eerbiediging van het privéleven op het niveau van de Unie - volgens vaste rechtspraak van het Hof - dat de uitzonderingen op de bescherming van de persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke blijven (arresten van 16 december 2008, Satakunnan Markkinapörssi en Satamedia, C-73/07, EU: C: 2008: 727, punt 56; 8 april 2014, Digital Rights Ireland e.a., C-293/12 en C-594/12, EU: C: 2014: 238, punten 51 en 52; 6 oktober 2015, Schrems, C-362/14, EU: C: 2015: 650, punt 92, en 21 december 2016, Tele2 Sverige en Watson e.a., C-203/15 en C-698/15, EU: C: 2016: 970, punten 96 en 103). 141. De betrokken regeling die de inmenging bevat, voldoet slechts aan dit vereiste indien zij duidelijke en nauwkeurige regels over de reikwijdte en de toepassing van de betrokken maatregel bevat die minimale eisen opleggen, zodat degenen van wie de gegevens zijn doorgegeven over voldoende garanties beschikken dat hun persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik.Zij moet in het bijzonder aangeven in welke omstandigheden en onder welke voorwaarden een maatregel die voorziet in de verwerking van dergelijke gegevens kan worden genomen, en aldus waarborgen dat de inmenging tot het strikt noodzakelijke wordt beperkt. De noodzaak om over dergelijke garanties te beschikken is des te groter wanneer de persoonsgegevens geautomatiseerd worden verwerkt. Deze overwegingen gelden inzonderheid wanneer het gaat om de bescherming van een bijzondere categorie persoonsgegevens, te weten gevoelige gegevens (zie in die zin arresten van 8 april 2014, Digital Rights Ireland e.a., C-293/12 en C-594/12, EU: C: 2014: 238, punten 54 en 55, en 21 december 2016, Tele2 Sverige en Watson e.a., C-203/15 en C-698/15, EU: C: 2016: 970, punten 109 en 117; zie in die zin eveneens arrest EHRM, 4 december 2008, S. en Marper tegen Verenigd Koninkrijk, CE: ECHR: 2008: 1204JUD003056204, punt 103) ».

B.36.1. Artikel 4, 9°, van de wet van 25 december 2016 definieert de « PNR » als zijnde « het bestand met de reisgegevens van iedere passagier, dat de in artikel 9 bedoelde informatie bevat ». Zoals is vermeld in B.24.1, maakt artikel 9 van de wet van 25 december 2016 een onderscheid tussen, enerzijds, de voorafgaande gegevens van de check-in-status en het instappen (« API-gegevens ») zoals bedoeld in artikel 9, § 1, 18°, die exhaustief zijn opgesomd in artikel 9, § 2, van de wet van 25 december 2016, en, anderzijds, de reservatiegegevens (« PNR-gegevens »), die maximaal de 19 elementen bevatten die exhaustief zijn opgesomd in artikel 9, § 1, van de wet van 25 december 2016, waaronder de « API-gegevens » zoals bedoeld in artikel 9, § 1, 18°.

Het onderscheid tussen « API-gegevens » en « PNR-gegevens » wordt geëxpliciteerd in de in B.3.1 geciteerde parlementaire voorbereiding.

B.36.2.1. De parlementaire voorbereiding betreffende artikel 9 van de wet van 25 december 2016 zet uiteen : « Artikel 9 bepaalt welke passagiersgegevens moeten worden doorgestuurd. Deze gegevens worden doorgestuurd via een opgelegd en eenvormig dataformaat per vervoersector en reisoperator, waarvoor gebruik wordt gemaakt van een internationaal aanvaarde norm (voor luchtvaartmaatschappijen is dit bijvoorbeeld het formaat PNRGOV, ontwikkeld door IATA/ICAO/WCO).

Artikel 9 maakt een onderscheid tussen, enerzijds, de in § 1 bedoelde reservatiegegevens en, anderzijds, de in § 2 vermelde check-in- en instapgegevens » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, pp. 20-21).

Dat onderscheid komt overeen met het onderscheid tussen de gegevens die worden beoogd door de « API-richtlijn » en die welke worden beoogd door de « PNR-richtlijn ».

B.36.2.2. De door de wet van 25 december 2016 georganiseerde doorgifte van passagiersgegevens houdt voor de vervoerders en reisoperatoren evenwel geen verplichting in om meer gegevens te verzamelen dan die waarover zij reeds beschikken : « De vervoerders en reisoperatoren verzamelen en verwerken de gegevens van hun passagiers reeds voor commerciële doeleinden. De luchtvaartmaatschappijen bijvoorbeeld bewaren zowel op voorhand af te geven passagiersgegevens (API-gegevens) als PNR-gegevens, maar dit is niet algemeen. De API-gegevens zijn onder meer de gegevens die worden afgelezen van de ' machine readable zone ' van het identiteitsdocument. Conform de EU-PNR-Richtlijn dienen de vervoerders en reisoperatoren enkel de data door te geven waarover ze reeds beschikken en dienen ze geen aanvullende gegevens te verzamelen of te bewaren van passagiers. Ze dienen evenmin passagiers te verplichten om nog meer gegevens aan hen te verstrekken dan thans het geval is » (ibid., pp. 15-16).

De overwegingen 8 en 9 van de « PNR-richtlijn » geven in dat verband eveneens aan : « (8) Luchtvaartmaatschappijen verzamelen en verwerken PNR-gegevens van hun passagiers reeds voor hun eigen commerciële doeleinden. Deze richtlijn mag niet voorschrijven dat de luchtvaartmaatschappijen ertoe worden verplicht aanvullende gegevens bij passagiers te verzamelen of deze te bewaren, en evenmin dat passagiers ertoe worden verplicht nog meer gegevens aan de luchtvaartmaatschappijen te verstrekken dan thans het geval is. (9) Sommige luchtvaartmaatschappijen bewaren de API-gegevens die zij verzamelen als onderdeel van de PNR-gegevens, andere niet.Het gecombineerde gebruik van PNR- en API-gegevens biedt meerwaarde doordat het de lidstaten helpt bij de identiteitscontrole van personen, waardoor uit het oogpunt van rechtshandhaving dat resultaat aan waarde wint, en het risico wordt beperkt dat onschuldige personen het voorwerp uitmaken van controle en onderzoek. Daarom moet er beslist voor worden gezorgd dat luchtvaartmaatschappijen die API-gegevens verzamelen, deze doorgeven, ongeacht of zij API-gegevens bewaren door middel van andere technische middelen dan voor PNR-gegevens ».

B.37.1. Wat de « API-gegevens » betreft, bepaalt artikel 3, lid 2, van de « API-richtlijn » dat de informatie over de passagiers die de luchtvervoerders zullen vervoeren naar een aangewezen grensdoorlaatpost via welke die personen het grondgebied van een lidstaat binnenkomen, onder meer de volgende inlichtingen bevat : « - het nummer en de aard van het gebruikte reisdocument, - de nationaliteit, - de volledige naam, - de geboortedatum, - de grensdoorlaatpost van binnenkomst op het grondgebied van de lidstaten, - het vervoermiddel, - het tijdstip van vertrek en van aankomst van het vervoermiddel, - het totale aantal met dat vervoermiddel vervoerde passagiers, - het eerste instappunt ».

B.37.2.1. Voorheen waren de luchtvervoerders reeds verplicht om de « API-gegevens » door te geven, overeenkomstig het koninklijk besluit van 11 december 2006, dat werd opgeheven bij artikel 10 van het koninklijk besluit van 18 juli 2017.

De parlementaire voorbereiding van de wet van 25 december 2016 bevestigt immers : « Het [voorontwerp] van wet herneemt in hoofdzaak het regime dat voorzien wordt door het hierboven genoemd koninklijk besluit van 11 december 2006 betreffende de verplichting voor luchtvervoerders om passagiersgegevens door te geven. De door dit voorontwerp van wet voorziene lijst van de ' API '-gegevens komt in hoofdzaak dus overeen met de lijst die door dit besluit is opgesteld.

Het toepassingsgebied van het voorontwerp van wet is echter groter dan het toepassingsgebied van de richtlijn 2004/82/EG, omdat de aan de vervoerders opgelegde verplichting tot alle transportsectoren wordt uitgebreid » (ibid., p. 11).

B.37.2.2. Vóór de opheffing ervan bij het koninklijk besluit van 18 juli 2017, beoogde artikel 3, § 2, van het koninklijk besluit van 11 december 2006, als inlichtingen die door de luchtvaartmaatschappijen moesten worden doorgegeven : « 1° het nummer en de aard van het gebruikte reisdocument; 2° de nationaliteit;3° de volledige naam;4° de geboortedatum;5° de grensdoorlaatpost van binnenkomst op het Belgisch grondgebied;6° het vluchtnummer;7° het tijdstip van vertrek en van aankomst van de vlucht;8° het totale aantal vervoerde passagiers;9° het eerste instappunt ». Die lijst van inlichtingen was dus een overname van de minimale lijst waarin artikel 3, lid 2, van de « API-richtlijn » voorziet.

B.38.1. Wat de « PNR-gegevens » betreft, geeft overweging 15 van de « PNR-richtlijn » aan : « Een lijst van de PNR-gegevens die door een PIE worden verkregen, dient zo te worden opgesteld dat wordt tegemoetgekomen aan de legitieme behoeften van de overheid in verband met het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, en dat aldus de interne veiligheid van de EU wordt bevorderd, en dient anderzijds de bescherming van de grondrechten, en met name het recht op eerbiediging van de persoonlijke levenssfeer en op bescherming van persoonsgegevens, te waarborgen. Daartoe moeten hoge normen worden toegepast in overeenstemming met het Handvest van de grondrechten van de Europese Unie (het ' Handvest '), het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (' Verdrag nr. 108 ') en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (' EVRM ').

Dergelijke lijst mag niet uitgaan van ras of etnische oorsprong, godsdienstige of levensbeschouwelijke overtuiging, politieke of andere opvattingen, vakbondslidmaatschap, gezondheid, seksleven of seksuele geaardheid. De PNR-gegevens dienen uitsluitend details over de reserveringen en de reisroutes van de passagier te bevatten die de bevoegde instanties in staat stellen te bepalen welke vliegtuigpassagiers een risico voor de interne veiligheid vormen ».

B.38.2. Overeenkomstig artikel 3, punt 5, van de « PNR-richtlijn » wordt onder de « Passenger Name Record » of « PNR » verstaan « een bestand met de reisgegevens van iedere passagier, dat informatie bevat die de boekende en de deelnemende luchtvaartmaatschappijen nodig hebben om reserveringen te kunnen verwerken en controleren bij elke reis die door of namens iemand wordt geboekt; dit bestand kan zich bevinden in een reserveringssysteem, een vertrekcontrolesysteem dat wordt gebruikt bij het inchecken van passagiers op vluchten, of een soortgelijk systeem dat dezelfde functies vervult ».

Artikel 4, 9°, van de wet van 25 december 2016 neemt in vrijwel identieke bewoordingen die definitie van het « PNR-bestand » over.

B.38.3.1. Bijlage I van de « PNR-richtlijn », met als opschrift « PNR-gegevens verzameld door luchtvaartmaatschappijen », bepaalt : « 1. PNR-bestandslocatie 2. Datum van reservering/afgifte van het biljet 3.Geplande reisdatum (-data) 4. Naam/namen 5.Adres en contactgegevens (telefoonnummer, e-mailadres) 6. Alle betalingsinformatie, met inbegrip van het factuuradres 7.Volledige reisroute voor dit specifieke PNR 8. Informatie betreffende reizigers die gebruikmaken van een loyaliteitsprogramma voor frequent reizen 9.Reisbureau/reisagent 10. Reisstatus van de passagier, met inbegrip van bevestigingen, check-in-status en ' no-show ' of ' go-show '-informatie 11.Opgesplitste/opgedeelde PNR-informatie 12. Algemene opmerkingen (met inbegrip van alle beschikbare informatie over niet-begeleide minderjarigen jonger dan 18 jaar, zoals naam en geslacht van de minderjarige, leeftijd, talen die de minderjarige spreekt, naam en contactgegevens van de persoon die de minderjarige begeleidt naar het vertrek en de aard van de relatie van deze persoon met de minderjarige, naam en contactgegevens van de persoon die de minderjarige afhaalt bij aankomst en de aard van de relatie van deze persoon met de minderjarige, functionaris voor vertrek en aankomst) 13.Informatie uit de biljetuitgifte (' ticketing field '-informatie), waaronder het biljetnummer, de uitgiftedatum van het reisbiljet, biljetten voor enkele reizen en geautomatiseerde prijsnotering van reisbiljetten 14. Zitplaatsinformatie, waaronder het zitplaatsnummer 15.Informatie over gemeenschappelijke vluchtnummers 16. Alle bagage-informatie 17.Aantal en namen van de andere reizigers in het PNR 18. Alle verzamelde API-gegevens (Advance Passenger Information) (onder meer soort, nummer, land van afgifte en geldigheidsdatum van een identiteitsdocument, nationaliteit, familienaam, voornaam, geslacht, geboortedatum, luchtvaartmaatschappij, vluchtnummer, datum van vertrek, datum van aankomst, luchthaven van vertrek, luchthaven van aankomst, tijdstip van vertrek, tijdstip van aankomst) 19.Alle vroegere wijzigingen in de onder de punten 1 tot en met 18 genoemde PNR-gegevens ».

B.38.3.2. Punt 18 van bijlage I van de « PNR-richtlijn » breidt dus het begrip « API-gegevens », zoals bedoeld in artikel 3, lid 2, van de « API-richtlijn », uit.

B.39.1.1. Wat de reservatiegegevens betreft, beoogt artikel 9, § 1, van de wet van 25 december 2016 maximaal als « PNR-gegevens » : « Wat de reservatiegegevens betreft, bevatten de passagiersgegevens maximaal : 1° de PNR-bestandslocatiecode;2° de datum van reservering en afgifte van het biljet;3° de geplande reisdata;4° de namen, voornamen en geboortedatum;5° het adres en de contactgegevens (telefoonnummer, e-mailadres);6° de betalingsinformatie, met inbegrip van het factureringsadres;7° de volledige reisroute voor de betrokken passagier;8° de informatie over de ' geregistreerde reizigers ', met name de reizigers die gebruikmaken van een loyauteitsprogramma voor frequent reizen;9° het reisbureau of de reisagent;10° de status van de reiziger, met inbegrip van de bevestigingen, check-in-status, no-show- of go-show-informatie;11° de aanwijzingen over de opgesplitste of opgedeelde PNR-informatie;12° de algemene opmerkingen, met inbegrip van alle beschikbare informatie over de niet-begeleide minderjarigen onder 18 jaar, zoals de naam en het geslacht van de minderjarige, zijn leeftijd, de taal/talen die hij spreekt, de naam en de contactgegevens van de voogd die de minderjarige begeleidt bij het vertrek en de aard van zijn relatie met de minderjarige, de naam en de contactgegevens van de voogd aanwezig bij de aankomst en de aard van zijn relatie met de minderjarige, de ambtenaar die bij het vertrek en de aankomst aanwezig is;13° de informatie betreffende de biljetuitgifte, waaronder het biljetnummer, de uitgiftedatum, de biljetten voor enkele reizen en de geautomatiseerde prijsnotering van de biljetten;14° het zitplaatsnummer en andere informatie over de zitplaats;15° de informatie over gezamenlijke vluchtnummers;16° alle bagage-informatie;17° het aantal en de namen van de andere reizigers in het PNR;18° alle voorafgaande passagiersgegevens (API-gegevens) die werden verzameld en worden opgesomd in § 2;19° alle vroegere wijzigingen van de onder 1° tot 18° opgesomde gegevens;».

B.39.1.2. De « PNR-gegevens » bedoeld in artikel 9, § 1, van de wet van 25 december 2016 zijn dus een overname van de gegevens bedoeld in bijlage I van de « PNR-richtlijn ».

B.39.2.1. Wat de voorafgaande gegevens van de check-in-status en het instappen betreft, beoogt artikel 9, § 2, van de wet van 25 december 2016 als zijnde de « API-gegevens » : « Wat de gegevens van de check-in-status en het instappen betreft, zijn de voorafgaande gegevens bedoeld in § 1, 18°, de volgende : 1° soort reisdocument;2° nummer van het document;3° nationaliteit;4° land van afgifte van het document;5° vervaldatum van het document;6° familienaam, voornaam, geslacht, geboortedatum;7° vervoerder / reisoperator;8° nummer van het vervoer;9° datum van vertrek, datum van aankomst;10° plaats van vertrek, plaats van aankomst;11° tijdstip van vertrek, tijdstip van aankomst;12° totaal aantal vervoerde personen;13° zitplaatsnummer;14° PNR-bestandslocatiecode;15° aantal, gewicht en identificatie van de bagagestukken;16° grensdoorlaatpost van binnenkomst op het nationaal grondgebied ». B.39.2.2. De « API-gegevens » bedoeld in artikel 9, § 2, van de wet van 25 december 2016 nemen hoofdzakelijk de gegevens bedoeld in punt 18 van bijlage I van de « PNR-richtlijn » over, en zijn dus ruimer dan de gegevens die werden beoogd door artikel 3, lid 2, van de « API-richtlijn ».

B.40.1. Zoals is vermeld in B.3, heeft de wet van 25 december 2016 tot doel de openbare veiligheid te verzekeren door een doorgifte van passagiersgegevens en het gebruik van die gegevens in te voeren in het kader van de strijd tegen terroristische misdrijven en zware grensoverschrijdende criminaliteit.

Die doelstellingen vormen doelstellingen van algemeen belang die inmengingen kunnen verantwoorden in het recht op eerbiediging van het privéleven en in het recht op bescherming van persoonsgegevens (HvJ, grote kamer, 8 april 2014, C-293/12, Digital Rights Ireland Ltd, punt 42). Het Hof van Justitie heeft overigens bevestigd dat die doelstellingen van algemeen belang de doorgifte en verwerking van persoonsgegevens van passagiers konden rechtvaardigen (HvJ, grote kamer, 26 juli 2017, advies 1/15, punten 148 en 149).

B.40.2. Er dient thans te worden onderzocht of, zoals is vermeld in B.35, die inmengingen voldoende precies, evenredig met en beperkt zijn tot het « strikt noodzakelijke », rekening houdend met de omvang van de door de wet van 25 december 2016 beoogde gegevens.

B.41.1. Het verzamelen van de door de wet van 25 december 2016 beoogde passagiersgegevens gaat gepaard met waarborgen wat de inhoud van die gegevens betreft.

B.41.2. In de eerste plaats zijn die gegevens, zoals is vermeld in B.24.1, exhaustief vastgelegd bij artikel 9 van de wet van 25 december 2016.

Die gegevens zijn inlichtingen die rechtstreeks verband houden met de reis die aanleiding geeft tot het vervoer dat binnen het toepassingsgebied van de wet van 25 december 2016 valt. Zoals is vermeld in B.36.2.2, gaat het om gegevens waarover de vervoerders en reisoperatoren in principe reeds beschikken. Overigens stemmen die gegevens overeen met bijlage I van de richtsnoeren van de Internationale Burgerluchtvaartorganisatie (ICAO) (HvJ, 26 juli 2017, advies 1/15, punt 156). Die gegevens zijn bijgevolg pertinent gezien de doelstellingen die door de wet van 25 december 2016 worden nagestreefd.

B.41.3.1. Overigens bepalen de artikelen 10 en 11 van de wet van 25 december 2016, die niet worden bestreden : «

Art. 10.De passagiersgegevens mogen geen betrekking hebben op de raciale of etnische oorsprong van een persoon, zijn religieuze of levensbeschouwelijke overtuigingen, zijn politieke opvattingen, zijn vakbondslidmaatschap, zijn gezondheidstoestand of zijn seksleven of seksuele geaardheid.

Art. 11.Wanneer de door de vervoerders en de reisoperatoren doorgegeven passagiersgegevens andere gegevens bevatten dan de in artikel 9 opgesomde gegevens of gegevens bevatten die in artikel 10 zijn opgesomd, verwijdert de PIE deze aanvullende gegevens definitief bij hun ontvangst ».

B.41.3.2. De parlementaire voorbereiding van de wet van 25 december 2016 bevestigt in dat verband : « De passagiersgegevens mogen bovendien in geen geval betrekking hebben op de raciale of etnische afkomst, de godsdienstige of levensbeschouwelijke overtuiging, de politieke opvattingen, het lidmaatschap van een vakvereniging, de gezondheid, het seksuele leven of de seksuele geaardheid van de betrokkene. De gegevens moeten daarentegen gedetailleerde informatie over de reservering en de reisroute van de passagier bevatten, die de bevoegde instanties in staat stellen te bepalen welke passagiers een risico kunnen vormen voor de veiligheid. [...] De lijsten van passagiersgegevens zijn beperkt tot wat strikt noodzakelijk is om tegemoet te komen aan de legitieme behoeften van de bevoegde diensten in kader van de in de wet bepaalde doelen. Andere gegevens dan die omschreven in artikel 9 of 10 van deze wet, worden niet verzameld en onmiddellijk verwijderd » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, p. 21).

B.41.4. Die bepalingen waarborgen aldus dat gevoelige gegevens in principe niet kunnen worden verzameld of bewaard als door de wet van 25 december 2016 beoogde passagiersgegevens.

B.41.5. In het voormelde advies 1/15 van 26 juli 2017 heeft het Hof van Justitie eveneens geoordeeld, wat de gevoelige gegevens betreft, dat « de artikelen 7, 8 en 21 alsook artikel 52, lid 1, van het Handvest zich zowel verzetten tegen de doorgifte van gevoelige gegevens aan Canada als tegen de door de Unie met deze derde staat overeengekomen afbakening van de voorwaarden inzake het gebruik en de bewaring van dergelijke gegevens door de Canadese autoriteiten » (punt 167).

Die opmerking geldt ook te dezen.

B.42.1. Hoewel er waarborgen bestaan die gekoppeld zijn aan de door de wet van 25 december 2016 beoogde passagiersgegevens, dient niettemin de vraag te worden gesteld of die waarborgen voldoende zijn, rekening houdend met de omvang van de beoogde gegevens.

B.42.2. De gegevens die worden beoogd in artikel 9, § 1, van de wet van 25 december 2016, dat de in bijlage I van de « PNR-richtlijn » beoogde gegevens overneemt, omvatten immers zeer ruime gegevens, naast de gegevens van de check-in-status en het instappen, onder meer : de volledige reisroute voor de betrokken passagier, het reisbureau, het zitplaatsnummer, alle bagageinformatie, de betalingsinformatie, met inbegrip van het factuuradres, de algemene opmerkingen, « met inbegrip van alle beschikbare informatie over de niet-begeleide minderjarigen onder 18 jaar » (artikel 9, § 1, 12°).

B.42.3.1. In zijn voormelde advies 1/15 van 26 juli 2017 heeft het Hof van Justitie overigens opgemerkt dat « bepaalde PNR-gegevens op zichzelf beschouwd weliswaar geen belangrijke informatie [lijken] te kunnen verschaffen over het privéleven van de betrokkenen, maar samen beschouwd [...] onder meer een volledige reisroute [kunnen] blootleggen, inzicht [kunnen] geven in reisgewoontes en relaties tussen twee of meer personen, inlichtingen [kunnen] verschaffen over de financiële situatie van luchtreizigers, hun voedingsgewoonten of hun gezondheidstoestand, en zelfs gevoelige gegevens over deze passagiers [kunnen] bevatten, zoals gedefinieerd in artikel 2, onder e), van de voorgenomen overeenkomst » (punt 128).

B.42.3.2. In haar advies van 19 augustus 2016 « over de gevolgen, op het gebied van gegevensbescherming, van de verwerking van passagiersgegevens », heeft de Adviescommissie inzake het Verdrag nr. 108 van de Raad van Europa « tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens » eveneens opgemerkt : « De PNR's bevatten informatie die ertoe strekt de reis van een passagier te vergemakkelijken, en kunnen een aantal gevoelige gegevens bevatten (gegevens die kunnen dienen om te wijzen op de raciale oorsprong van een persoon, zijn politieke opvattingen, zijn religieuze en andere overtuigingen, zijn gezondheidstoestand of zijn seksuele geaardheid), niet alleen onder bepaalde ' gecodeerde ' gegevens, maar ook in het open veld dat algemene opmerkingen bevat (zoals diëtische en medische verzoeken, of het feit dat een politieke of religieuze vereniging tickets tegen een verlaagd tarief heeft gekregen voor de reis van haar leden), wat zou kunnen leiden tot een rechtstreekse discriminatie » (Raad van Europa, advies van 19 augustus 2016, T-PD(2016)18rev, p. 7).

B.42.3.3. Het Bureau van de Europese Unie voor de grondrechten heeft eveneens opgemerkt dat « PNR-gegevens » « gevoelige of specifieke gegevens zouden kunnen omvatten onder de rubriek ' algemene opmerkingen ' » (Advies 1/2011 van het Bureau van de Europese Unie voor de grondrechten over het voorstel van richtlijn betreffende het gebruik van persoonsgegevens van passagiers voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware criminaliteit (COM(2011) 32 definitief), 14 juni 2011, p. 8; zie ook ibid., p. 13).

B.42.4. Aldus zouden, gezien het zeer ruime toepassingsgebied ervan, de in artikel 9 van de wet van 25 december 2016 beoogde gegevens, hoewel zij niet rechtstreeks gevoelige gegevens kunnen bevatten, niettemin onrechtstreeks gevoelige elementen kunnen onthullen die vallen onder de bescherming van persoonsgegevens en onder de eerbiediging van het privéleven.

Rekening houdend met het in B.35.5 vermelde advies 1/15 van het Hof van Justitie, rijst de vraag of de in artikel 9 van de wet van 25 december 2016 beoogde gegevens, die de in bijlage I van de « PNR-richtlijn » beoogde gegevens bevatten, niet verder gaan dan het « strikt noodzakelijke » om de door de « PNR-richtlijn » nagestreefde doelstellingen te bereiken.

B.42.5. Artikel 267 van het VWEU verleent het Hof van Justitie de bevoegdheid om bij wijze van prejudiciële beslissing uitspraak te doen over zowel de uitlegging van de verdragen en van de handelingen van de instellingen van de Europese Unie als de geldigheid van die handelingen. Volgens de derde alinea ervan is een nationale rechterlijke instantie gehouden zich tot het Hof van Justitie te wenden, indien haar beslissingen - zoals die van het Grondwettelijk Hof - volgens het nationale recht niet vatbaar zijn voor hoger beroep.

Wanneer er twijfel is over de interpretatie of de geldigheid van een bepaling van het recht van de Europese Unie die van belang is voor de oplossing van een voor een dergelijk nationaal rechtscollege hangend geschil, dient dat rechtscollege, zelfs ambtshalve, het Hof van Justitie prejudicieel te ondervragen.

Alvorens ten gronde uitspraak te doen, dient bijgevolg de tweede in het dictum vermelde prejudiciële vraag te worden gesteld aan het Hof van Justitie van de Europese Unie.

B.43.1. In zijn voormelde advies 1/15 van 26 juli 2017 heeft het Hof van Justitie, wat de vereiste betreft van een duidelijke en nauwkeurige bepaling van de gegevens bedoeld in het ontwerp van overeenkomst tussen Canada en de Europese Unie over het doorgeven en het verwerken van persoonsgegevens van passagiers, daarenboven de volgende opmerkingen geformuleerd : « 155. Wat de in de voorgenomen overeenkomst bedoelde gegevens betreft, dient deze overeenkomst duidelijk en nauwkeurig te bepalen welke PNR-gegevens de luchtvaartmaatschappijen overeenkomstig deze overeenkomst moeten doorgeven aan Canada. 156. Hoewel volgens de opmerkingen van de Commissie de 19 categorieën van PNR-gegevens die in de bijlage bij de voorgenomen overeenkomst vermeld staan overeenstemmen met bijlage I van de richtsnoeren inzake PNR-gegevens van de Internationale Burgerluchtvaartorganisatie (ICAO), moet worden beklemtoond - zoals de advocaat-generaal in punt 217 van zijn conclusie heeft gedaan - dat punt 5, dat ziet op ' [b]eschikbare informatie betreffende frequent reizen en voordelen (d.w.z. gratis biljetten, upgrades, enz.) ', en punt 7, dat betrekking heeft op ' [a]lle beschikbare contactgegevens (met inbegrip van informatie betreffende de verstrekker) ', niet op een voldoende duidelijke en nauwkeurige manier de door te geven PNR-gegevens omschrijven. 157. Wat punt 5 betreft, bepaalt het gebruik van het woord ' enz.' immers onvoldoende de omvang van de door te geven gegevens. Voorts kan op grond van de bewoordingen van dit punt niet worden achterhaald of dit punt enkel ziet op informatie betreffende de status van een luchtreiziger in het kader van een klantenloyaliteitsprogramma dan wel op alle informatie betreffende vliegreizen en transacties in het kader van dergelijke programma's. 158. Ook punt 7, waarin gesproken wordt over ' [a]lle beschikbare contactgegevens ', bepaalt onvoldoende de omvang van de door te geven gegevens.Met name wordt hierin niet gepreciseerd op welk type contactgegevens dit punt betrekking heeft en evenmin of onder de voormelde bewoordingen ook - zoals uit het schriftelijke antwoord van de Commissie op de vragen van het Hof kan worden afgeleid - de contactgegevens vallen van derden die de vlucht hebben geboekt voor de luchtreiziger, derden via welke een luchtreiziger kan worden bereikt, of derden met wie in noodgevallen contact moet worden opgenomen. 159. Punt 8 betreft ' [a]lle beschikbare betalings-/factureringsinformatie (zonder andere transactiegegevens die gekoppeld zijn aan een creditcard of -rekening en niet samenhangen met de reistransactie) '.Door het gebruik van de termen ' [a]lle beschikbare [...] informatie ' kan dit punt weliswaar erg ruim lijken, maar zoals uit het antwoord van de Commissie op de vragen van het Hof voortvloeit, moet dit punt worden geacht enkel betrekking te hebben op de informatie inzake de betalings- en factureringswijzen van het vliegticket en dus niet op andere informatie die geen rechtstreeks verband houdt met de vlucht. Indien dit punt aldus wordt uitgelegd kan het dus worden geacht te beantwoorden aan de vereisten van duidelijkheid en nauwkeurigheid. 160. Punt 17 heeft dan weer betrekking op ' [a]lgemene opmerkingen, waaronder Other Supplementary Information (OSI), Special Service Information (SSI) en Special Service Request (SSR) informatie '. Volgens de met name door de Commissie gegeven toelichting is dit punt een zogenoemd ' free text '-punt, dat tot doel heeft om ' alle aanvullende inlichtingen ' te omvatten, te weten die welke niet reeds elders in de bijlage bij de voorgenomen overeenkomst zijn opgesomd.

Een dergelijk punt levert dus geen aanwijzingen over de aard en de omvang van de door te geven inlichtingen, en lijkt zelfs informatie te kunnen omvatten die geen verband houdt met de doelstelling van de doorgifte van de PNR-gegevens. Aangezien de in dit punt bedoelde informatie slechts bij wijze van voorbeeld wordt vermeld, zoals het gebruik van het woord ' waaronder ' aangeeft, beperkt dit punt bovendien geenszins de aard en de omvang van de informatie die daaronder kan vallen. Derhalve kan punt 17 niet worden geacht voldoende duidelijk en nauwkeurig te zijn afgebakend. 161. Tot slot heeft punt 18 betrekking op ' [a]lle informatie uit het Advance Passenger Information System (APIS) die met het oog op de boeking is verzameld '.Volgens de preciseringen van de Raad en de Commissie stemt die informatie overeen met de in artikel 3, lid 2, van richtlijn 2004/82 bedoelde inlichtingen, te weten het nummer en de aard van het gebruikte reisdocument, de nationaliteit, de volledige naam, de geboortedatum, de grensdoorlaatpost van binnenkomst op het grondgebied van de lidstaten, het vervoermiddel, het tijdstip van vertrek en van aankomst van het vervoermiddel, het totale aantal met dat vervoermiddel vervoerde passagiers en het eerste instappunt. Dit punt kan, voor zover het aldus begrepen wordt dat het uitsluitend de in de voornoemde bepaling uitdrukkelijk bedoelde inlichtingen omvat, geacht worden aan de vereisten van duidelijkheid en nauwkeurigheid te voldoen. 162. Artikel 4, lid 3, van de voorgenomen overeenkomst - volgens hetwelk Canada, wanneer het een PNR-gegeven ontvangt dat niet in de lijst van de bijlage bij deze overeenkomst is opgenomen, dit gegeven moet wissen - kan het gebrek aan duidelijkheid van de punten 5, 7 en 17 van deze bijlage niet vergoelijken.Deze lijst bakent als zodanig immers niet voldoende duidelijk en nauwkeurig de door te geven PNR-gegevens af, zodat het voornoemde artikel 4, lid 3, geen oplossing kan bieden voor de onzekerheden in verband met de PNR-gegevens die moeten worden doorgegeven. 163. Wat de aan Canada door te geven PNR-gegevens betreft, bakenen de punten 5, 7 en 17 van de bijlage bij de voorgenomen overeenkomst dus niet voldoende duidelijk en nauwkeurig de draagwijdte af van de inmenging in de grondrechten die in de artikelen 7 en 8 van het Handvest zijn verankerd ». B.43.2. Aangezien sommige van die opmerkingen te dezen eveneens zouden kunnen gelden, ten aanzien van het illustratieve en niet-exhaustieve karakter van sommige gegevens vervat in bijlage I van de « PNR-richtlijn », die worden omgezet in artikel 9 van de wet van 25 december 2016, dient, alvorens ten gronde uitspraak te doen, aan het Hof van Justitie van de Europese Unie de in het dictum opgenomen derde prejudiciële vraag te worden gesteld. 4. Het begrip « passagier » (artikel 4, 10°) B.44. De verzoekende partij bekritiseert het ruime karakter van het begrip « passagier », dat leidt tot een systematische, niet-doelgerichte, geautomatiseerde verwerking van de gegevens van alle passagiers.

B.45.1. Artikel 4, 10°, van de bestreden wet definieert de « passagier » als « iedere persoon, met inbegrip van de transferpassagiers en transitpassagiers en met uitsluiting van de bemanningsleden, die wordt vervoerd of moet worden vervoerd door een vervoerder, met de toestemming van deze laatste, wat zich vertaalt door de inschrijving van deze persoon op de passagierslijst ».

Dat artikel neemt de inhoud over van artikel 3, punt 4, van de « PNR-richtlijn », dat de « passagier » ook definieert als « iedere persoon, met inbegrip van de transferpassagiers en transitpassagiers en met uitsluiting van de bemanningsleden, die met toestemming van de luchtvaartmaatschappij in een luchtvaartuig wordt vervoerd of zal worden vervoerd, en waarbij die toestemming blijkt uit de vermelding van die persoon op de passagierslijst ».

B.45.2. De definitie van « passagier » heeft tot gevolg dat het verzamelen, het doorgeven en het verwerken van de « PNR-gegevens » van die « passagiers » algemene en ongedifferentieerde verplichtingen vormen, die van toepassing zijn op elke persoon die wordt vervoerd of moet worden vervoerd en die op de passagierslijst is ingeschreven.

De verplichtingen die de wet van 25 december 2016 oplegt, zijn aldus van toepassing los van het bestaan van ernstige redenen om te geloven dat de betrokken personen een misdrijf hebben gepleegd of op het punt staan een misdrijf te plegen, of aan een misdrijf schuldig zijn bevonden.

B.45.3. In haar advies van 19 augustus 2016 « over de implicaties inzake gegevensbescherming van de verwerking van passagiersgegevens » heeft de Adviescommissie inzake het Verdrag nr. 108 van de Raad van Europa « tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens » dienaangaande opgemerkt : « De verwerking van de PNR-gegevens - die het unieke voordeel heeft de identificatie van personen die van belang zijn mogelijk te maken - is een algemene en niet-selectieve filtering van alle passagiers, met inbegrip van diegenen die niet ervan worden verdacht enig strafrechtelijk misdrijf te hebben gepleegd, door verschillende bevoegde instanties, en zij betreft gegevens die aanvankelijk voor commerciële doeleinden door private entiteiten verzameld zijn. Gelet op de omvang van de aantasting van de rechten op privéleven en op gegevensbescherming die uit de verwerking van de PNR-gegevens zou voortvloeien, dient duidelijk te worden aangetoond dat de genoemde verwerking een noodzakelijke maatregel met een wettig doel in een democratische samenleving is; bovendien is vereist dat passende waarborgen worden ingevoerd. Het is onontbeerlijk de noodzaak van het verzamelen en het later gebruiken van de PNR-gegevens uitdrukkelijk aan te tonen » (advies van 19 augustus 2016, T-PD(2016)18rev, p. 5).

De Commissie heeft ook de noodzaak onderstreept van een periodieke evaluatie van een dergelijk « PNR-systeem », teneinde te bepalen of het nog steeds verantwoord is : « In het geval van de bestaande systemen voor de verwerking van de PNR-gegevens door de bevoegde instanties dient een grotere transparantie met betrekking tot de evaluatie van de doeltreffendheid van die systemen te worden nagestreefd teneinde een gegronde en onafhankelijke evaluatie van de noodzaak van het systeem mogelijk te maken. Hoewel die transparantie gedetailleerd moet zijn, mag zij evenwel niet ingaan tegen de wettige doelstelling. Bijvoorbeeld, objectieve en kwantificeerbare informatie met betrekking tot de bereikte resultaten, zoals het aantal aangehouden personen, de terroristische bedreigingen die zouden kunnen zijn vermeden, de andere ontradende effecten, de wijziging van de gedragingen van de delinquenten (bijvoorbeeld, het afzien van overwogen criminele handelingen), de waarschijnlijkheid van een aanzienlijke verhoging van de kosten en van de moeilijkheid om misdrijven (zoals terroristische aanslagen) te plegen, zouden het mogelijk maken de evaluatie van de noodzaak van een systeem voor de verwerking van de PNR-gegevens te belichten.

Er dient met geregelde tussenpozen te worden overgegaan tot een onderzoek van de noodzaak van het systeem van de PNR teneinde te bepalen of het nog steeds verantwoord is » (ibid., p. 6).

B.45.4.1. Artikel 19 van de « PNR-richtlijn », met als opschrift « Evaluatie », bepaalt dat de Commissie, op basis van de door de lidstaten verstrekte informatie, waaronder statistische gegevens, uiterlijk op 25 mei 2020 alle elementen van de richtlijn evalueert en bij het Europees Parlement en bij de Raad een verslag indient en dat toelicht.

Artikel 19, lid 3, van de « PNR-richtlijn » bepaalt dat « de Commissie [...] rekening [houdt] met de ervaring die in de lidstaten is opgedaan, en met name in de lidstaten die deze richtlijn toepassen op vluchten binnen de EU overeenkomstig artikel 2 » en dat « ook aandacht [wordt] besteed aan de noodzaak om marktdeelnemers die geen luchtvaartmaatschappij zijn, zoals reisbureaus en touroperators die diensten in verband met reizen aanbieden, met inbegrip van het boeken van vluchten, in het toepassingsgebied van deze richtlijn op te nemen ».

B.45.4.2. Artikel 52, § 1, van de wet van 25 december 2016 bepaalt dat « deze wet [...] aan een evaluatie [wordt] onderworpen drie jaar na de inwerkingtreding ervan ».

B.46.1. Op het gebied van elektronische communicatie heeft het Hof van Justitie van de Europese Unie zich, bij een op 21 december 2016 in grote kamer gewezen arrest, uitgesproken over een nationale regeling die voorzag in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronischecommunicatiemiddelen, alsook in de verplichting voor de aanbieders van elektronischecommunicatiediensten om die gegevens stelselmatig en voortdurend te bewaren zonder enige uitzondering (HvJ, grote kamer, 21 december 2016, C-203/15, Tele2 Sverige AB t. Post-och telestyrelsen en C-698/15, Secretary of State for the Home Department t. Tom Watson e.a.).

Het Hof van Justitie heeft geoordeeld dat « de doeltreffendheid van de bestrijding van zware criminaliteit, met name van georganiseerde misdaad en terrorisme, weliswaar in aanzienlijke mate kan afhangen van het gebruik van moderne onderzoekstechnieken, maar dat een dergelijke doelstelling van algemeen belang, hoe wezenlijk zij ook is, op zich niet kan rechtvaardigen dat een nationale regeling die voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en alle locatiegegevens, noodzakelijk wordt geacht voor het voeren van deze strijd » (punt 103).

Het Hof van Justitie heeft geoordeeld : « 104. In dit verband dient enerzijds erop te worden gewezen dat een dergelijke regeling, gelet op de in punt 97 van het onderhavige arrest beschreven kenmerken ervan, tot gevolg heeft dat de bewaring van de verkeersgegevens en van de locatiegegevens de regel is, terwijl het bij richtlijn 2002/58 ingevoerde stelsel eist dat deze bewaring van gegevens de uitzondering vormt. 105. Anderzijds voorziet een nationale regeling als aan de orde in het hoofdgeding, die algemeen geldt voor alle abonnees en geregistreerde gebruikers en ziet op alle elektronischecommunicatiemiddelen en op alle verkeersgegevens, in geen enkele differentiatie, beperking of uitzondering naargelang van het nagestreefde doel.Zij heeft algemeen betrekking op alle personen die gebruikmaken van elektronischecommunicatiediensten zonder dat deze personen zich, al was het maar indirect, in een situatie bevinden die aanleiding kan geven tot strafvervolging. Zij is dus zelfs van toepassing op personen voor wie er geen enkele aanwijzing bestaat dat hun gedrag - zelfs maar indirect of van ver - verband houdt met ernstige strafbare feiten.

Bovendien bevat zij geen uitzonderingen, zodat zij zelfs van toepassing is op personen van wie de communicaties naar nationaal recht onder het beroepsgeheim vallen (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punten 57 en 58). 106. Een dergelijke regeling eist geen enkel verband tussen de gegevens die moeten worden bewaard en een bedreiging van de openbare veiligheid.Zij beperkt de bewaring met name niet tot gegevens die betrekking hebben op een bepaalde periode en/of een bepaald geografisch gebied en/of een kring van personen die op een of andere wijze betrokken kunnen zijn bij een ernstig strafbaar feit, of op personen van wie de bewaring van de gegevens om andere redenen zou kunnen helpen bij de bestrijding van criminaliteit (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 59). 107. Een nationale regeling als aan de orde in het hoofdgeding gaat dus verder dan strikt noodzakelijk is, en kan niet worden beschouwd als een regeling die in een democratische samenleving gerechtvaardigd is, zoals artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, eist.108. Artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, staat daarentegen niet eraan in de weg dat een lidstaat een regeling vaststelt op grond waarvan de verkeersgegevens en de locatiegegevens ter bestrijding van zware criminaliteit preventief gericht kunnen worden bewaard, op voorwaarde dat de bewaring van die gegevens, wat de categorieën van te bewaren gegevens, de betrokken communicatiemiddelen, de betrokken personen en de duur van de bewaring betreft, tot het strikt noodzakelijke wordt beperkt.109. Om aan de in het vorige punt van het onderhavige arrest genoemde eisen te voldoen, moet deze nationale regeling in de eerste plaats duidelijke en nauwkeurige regels voor de draagwijdte en de toepassing van een dergelijke maatregel van bewaring van gegevens bevatten en een minimum aan eisen stellen, zodat de personen wier gegevens zijn bewaard, voldoende garanties hebben dat hun persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik.Zij moet in het bijzonder aangeven in welke omstandigheden en onder welke voorwaarden een maatregel van bewaring van gegevens preventief kan worden genomen, en aldus waarborgen dat een dergelijke maatregel tot het strikt noodzakelijke wordt beperkt (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 54 en aldaar aangehaalde rechtspraak). 110. In de tweede plaats dient - wat de materiële voorwaarden betreft waaraan een nationale regeling op grond waarvan de verkeersgegevens en de locatiegegevens preventief kunnen worden bewaard ter bestrijding van criminaliteit, moet voldoen om te waarborgen dat zij tot het strikt noodzakelijke is beperkt - erop te worden gewezen dat dergelijke voorwaarden weliswaar kunnen verschillen naargelang van de maatregelen die voor het voorkomen, onderzoeken, opsporen en vervolgen van zware criminaliteit worden getroffen, maar dat de bewaring van de gegevens niettemin steeds moet voldoen aan objectieve criteria die een verband leggen tussen de te bewaren gegevens en het nagestreefde doel. In het bijzonder moeten dergelijke voorwaarden in de praktijk van dien aard blijken te zijn dat zij de omvang van de maatregel, en dus de kring van betrokken personen, daadwerkelijk afbakenen. 111. Wat de afbakening van een dergelijke maatregel ter zake van de personen en situaties betreft die onder die maatregel kunnen vallen, moet de nationale regeling worden gebaseerd op objectieve elementen waarmee kan worden gemikt op een groep mensen wier gegevens, althans indirect, een band met handelingen van zware criminaliteit aan het licht kunnen brengen, waarmee op de een of andere wijze kan worden bijgedragen tot de bestrijding van zware criminaliteit of waarmee een ernstig risico voor de openbare veiligheid kan worden voorkomen.Een dergelijke afbakening kan aan de hand van een geografisch criterium worden verricht wanneer de bevoegde nationale autoriteiten op basis van objectieve elementen van mening zijn dat er in een of meer geografische gebieden een hoog risico bestaat dat dergelijke handelingen worden voorbereid of gepleegd. 112. Gelet op een en ander dient op de eerste vraag in zaak C-203/15 te worden geantwoord dat artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, in die zin moet worden uitgelegd dat het zich verzet tegen een nationale regeling die, ter bestrijding van criminaliteit, voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronischecommunicatiemiddelen ». B.46.2. Op de tweede prejudiciële vraag in de zaak C-203/15 en de eerste prejudiciële vraag in de zaak C-698/15 antwoordt het Hof van Justitie dat artikel 15, lid 1, van de richtlijn 2002/58/EG, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 alsook artikel 52, lid 1, van het Handvest, « in die zin moet worden uitgelegd dat het zich verzet tegen een nationale regeling die de bescherming en de beveiliging van de verkeersgegevens en van de locatiegegevens en in het bijzonder de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens regelt zonder, in het kader van de bestrijding van criminaliteit, te bepalen dat die toegang alleen wordt verleend ter bestrijding van ernstige criminaliteit, dat die toegang aan een voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit is onderworpen, en dat de betrokken gegevens op het grondgebied van de Unie moeten worden bewaard » (punt 125).

B.46.3. Het Europees Hof voor de Rechten van de Mens van zijn kant heeft, in het arrest Centrum för Rättvisa t. Zweden van 19 juni 2018, de Zweedse wetgeving inzake het massief onderscheppen van elektronische communicatie inmiddels in overeenstemming bevonden met artikel 8 van het Europees Verdrag voor de rechten van de mens.

Teneinde te besluiten tot de ontstentenis van de schending, hanteert dat Hof de criteria die het in zijn vroegere rechtspraak heeft ontwikkeld (zie met name EHRM, grote kamer, 4 december 2015, Roman Zakharov t. Rusland). Het merkte inzonderheid op : « Het Hof heeft uitdrukkelijk erkend dat de nationale overheden over een ruime beoordelingsmarge beschikken bij de keuze hoe zij de nationale veiligheid het best vrijwaren (zie Weber and Saravia, hogervermeld besluit, § 106). In de zaken Weber and Saravia en Liberty and Others aanvaardde het Hof dat de regels inzake het massief onderscheppen op zich niet buiten die marge vielen. Gelet op de motivering van het Hof in die besluiten en rekening houdend met de dreigingen waarmee vele verdragsluitende Staten geconfronteerd worden (met name de plaag van wereldwijd terrorisme en andere ernstige vormen van criminaliteit zoals drugshandel, mensenhandel, seksuele uitbuiting van kinderen en cybercriminaliteit), met de technologische evoluties waardoor terroristen en criminelen gemakkelijker kunnen ontkomen aan hun opsporing via het internet en met de onvoorspelbaarheid van de kanalen via welke elektronische communicatie wordt doorgegeven, is het Hof van mening dat de beslissing om een regeling inzake het massief onderscheppen in te voeren teneinde tot dusver onbekende dreigingen voor de nationale veiligheid te identificeren een beslissing is die nog steeds onder de beoordelingsmarge van de Staten valt » (EHRM, 19 juni 2018, Centrum för Rättvisa t. Zweden, § 112).

Het Europees Hof voor de Rechten van de Mens heeft daarentegen geoordeeld dat de Engelse wet over het onderscheppen van communicatie artikel 8 van het Europees Verdrag voor de rechten van de mens schond omdat zij de in zijn rechtspraak geformuleerde criteria niet in acht nam. Het Hof was ook van oordeel dat « het aanwenden van een regeling inzake het massief onderscheppen in beginsel binnen de beoordelingsmarge van een Staat valt. Het massief onderscheppen is per definitie niet-doelgericht en die onderschepping doen afhangen van een ' redelijke verdenking ' zou de aanwending van zulk een regeling onmogelijk maken » (EHRM, 13 september 2018, Big Brother Watch e.a. t.

Verenigd Koninkrijk, § 317).

B.46.4. De vraag rijst in welke mate de voormelde rechtspraak, die de algemene en ongedifferentieerde bewaring van gegevens inzake elektronische communicatie betreft, geldt met betrekking tot het algemeen en ongedifferentieerd verzamelen, doorgeven en verwerken van passagiersgegevens zoals zij zijn georganiseerd bij de wet van 25 december 2016.

B.47.1. In zijn voormeld advies 1/15 van 26 juli 2017 heeft het Hof van Justitie zich uitgesproken over een analoog « PNR-systeem » maar met een beperkter toepassingsgebied, aangezien het ontwerp van overeenkomst tussen Canada en de Europese Unie over het doorgeven en het verwerken van persoonsgegevens van passagiers voorzag in « de stelselmatige en continue doorgifte [...] van de PNR-gegevens van eenieder die een vlucht tussen de Unie en Canada neemt » (punt 127).

Het Hof van Justitie was van oordeel dat « de doorgifte van PNR-gegevens aan Canada en de latere verwerkingen ervan [...] geschikt [kunnen] worden geacht voor de verwezenlijking van het met de voorgenomen overeenkomst nagestreefde doel de openbare veiligheid te beschermen » (punt 153).

Wat de betrokken passagiers betreft, was het Hof van Justitie van oordeel : « 186. De voorgenomen overeenkomst heeft betrekking op de PNR-gegevens van alle luchtreizigers die vluchten nemen tussen de Unie en Canada.

De doorgifte van deze gegevens aan Canada gebeurt los van het feit of er al dan niet objectieve gegevens aanwezig zijn die laten vermoeden dat de betrokken reizigers een risico kunnen opleveren voor de openbare veiligheid in Canada. 187. In dit verband moet worden opgemerkt dat de PNR-gegevens, zoals in de punten 152 en 169 van het onderhavige advies in herinnering is gebracht, met name bedoeld zijn om op geautomatiseerde wijze te worden verwerkt.Zoals diverse interveniënten evenwel hebben aangevoerd, beoogt deze verwerking het risico voor de openbare veiligheid vast te stellen dat zou kunnen worden gevormd door personen die in dit stadium niet bekend zijn bij de bevoegde diensten en vanwege dit risico aan een grondig onderzoek worden onderworpen. In dit verband zorgt de geautomatiseerde verwerking van deze gegevens vóór de aankomst van de reizigers in Canada ervoor dat de veiligheidscontroles, met name aan de grens, veel soepeler en sneller verlopen. Bovendien zou de uitsluiting van bepaalde categorieën personen of bepaalde gebieden van herkomst in de weg staan aan de verwezenlijking van de doelstelling van de geautomatiseerde verwerking van de PNR-gegevens - te weten door middel van een verificatie van deze gegevens die luchtreizigers identificeren die een risico zouden kunnen opleveren voor de openbare veiligheid - en het mogelijk maken om aan deze verificatie te ontsnappen. 188. Daarenboven moeten alle luchtreizigers overeenkomstig artikel 13 van het Verdrag van Chicago - waarnaar in het bijzonder de Raad en de Commissie hebben verwezen in hun antwoorden op de vragen van het Hof - bij binnenkomst in of vertrek uit dan wel tijdens het verblijf binnen het grondgebied van de verdragsluitende staat de wetten en voorschriften van die staat betreffende de toelating tot of het vertrek uit zijn grondgebied van luchtreizigers nakomen.Alle luchtreizigers die Canada willen inreizen of verlaten moeten krachtens dit artikel dus de grenscontroles ondergaan en de toelatings- en vertrekvoorwaarden respecteren waarin het toepasselijke Canadese recht voorziet. Zoals uit de punten 152 en 187 van het onderhavige advies volgt, maakt de identificatie - door middel van de PNR-gegevens - van de passagiers die een risico kunnen opleveren voor de openbare veiligheid, deel uit van de grenscontroles. De luchtreizigers die Canada willen inreizen en er willen verblijven zijn dus, aangezien zij het voorwerp van die controles uitmaken, wegens de aard van deze maatregel onderworpen aan de verificatie van hun PNR-gegevens. 189. Bijgevolg blijkt niet dat de voorgenomen overeenkomst verder gaat dan strikt noodzakelijk is, voor zover zij de doorgifte van de PNR-gegevens van alle luchtreizigers aan Canada toestaat ». B.47.2. De vraag rijst evenwel of die overwegingen ook zouden gelden ten aanzien van de « PNR-richtlijn » en een nationale wetgeving zoals de wet van 25 december 2016, die, bij het omzetten van de « PNR-richtlijn », het algemeen en ongedifferentieerd verzamelen, doorgeven en gebruiken van « PNR-gegevens » instelt voor alle passagiers die reizen via vervoer door de lucht, over het spoor of met de bus, los van een overschrijding van de buitengrenzen van de Unie.

Dat systeem is immers van toepassing op personen voor wie er geen enkele aanwijzing bestaat dat hun gedrag - zelfs maar indirect of van ver - een verband vertoont met zware criminaliteit (vergelijk met HvJ, grote kamer, 8 april 2014, C-293/12, Digital Rights Ireland Ltd, punt 58), en is ruimer dan het systeem waarin is voorzien bij de « PNR-overeenkomst » met Canada. Ten aanzien van de omvang van de beoogde gegevens rijst de vraag of die maatregel de grenzen van het « strikt noodzakelijke » in acht neemt.

Alvorens ten gronde uitspraak te doen, dient derhalve aan het Hof van Justitie van de Europese Unie de in het dictum opgenomen vierde prejudiciële vraag te worden gesteld. 5. De doelstellingen van de « PNR-gegevensverwerking » (artikel 8) B.48. De verzoekende partij bekritiseert de in artikel 8 van de wet van 25 december 2016 vervatte definitie van de doelstellingen van de « PNR-gegevensverwerking », die veel ruimer zou zijn dan de enkel tot terroristische misdrijven en ernstige criminaliteit beperkte « specifieke doeleinden » van de « PNR-richtlijn ». Zij is van mening dat die doelen de grenzen van het « strikt noodzakelijke » overschrijden.

B.49.1. Artikel 1, lid 2, van de « PNR-richtlijn » bepaalt : « Overeenkomstig deze richtlijn verzamelde PNR-gegevens mogen uitsluitend worden verwerkt om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen overeenkomstig artikel 6, lid 2, onder a), b) en c) ».

Artikel 6, lid 2, van de « PNR-richtlijn » bepaalt : « De PIE verwerkt de PNR-gegevens uitsluitend voor de volgende doeleinden : a) het beoordelen van de passagiers vóór hun geplande aankomst in of gepland vertrek uit de lidstaat, om te bepalen welke personen moeten worden onderworpen aan een nader onderzoek door de in artikel 7 bedoelde bevoegde instanties, en, in voorkomend geval, door Europol overeenkomstig artikel 10, omdat zij betrokken zouden kunnen zijn bij een terroristisch misdrijf of bij ernstige criminaliteit;b) het per geval inwilligen van een op afdoende gronden gebaseerd, gemotiveerd verzoek van de bevoegde instanties om in bepaalde gevallen PNR-gegevens te verstrekken en te verwerken voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit, en de resultaten van deze verwerking aan die instanties of, in voorkomend geval, aan Europol mee te delen;en c) het analyseren van PNR-gegevens voor het bijstellen van bestaande of het formuleren van nieuwe criteria die moeten worden gebruikt bij de beoordelingen die worden verricht op grond van lid 3, onder b), om te bepalen welke personen betrokken zouden kunnen zijn bij een terroristisch misdrijf of bij ernstige criminaliteit ». In overweging nr. 7 van de « PNR-richtlijn » wordt ook gepreciseerd : « Door PNR-gegevens te gebruiken kan het gevaar van terroristische misdrijven en ernstige criminaliteit vanuit een andere invalshoek worden aangepakt dan bij de verwerking van andere categorieën persoonsgegevens het geval is. Om echter ervoor te zorgen dat de verwerking van PNR-gegevens beperkt blijft tot het noodzakelijke, dient de vaststelling en toepassing van beoordelingscriteria te worden beperkt tot terroristische misdrijven en ernstige criminaliteit waarvoor het gebruik van dergelijke criteria relevant is ».

B.49.2. De doeleinden van de verwerking van de « PNR-gegevens » zoals bepaald in de « PNR-richtlijn » vormen dus enkel doelstellingen inzake het voorkomen, opsporen, onderzoeken en vervolgen van de terroristische misdrijven en ernstige criminaliteit.

B.49.3. In artikel 3, punt 8, van de « PNR-richtlijn » worden « terroristische misdrijven » gedefinieerd als « de in de artikelen 1 tot en met 4 van Kaderbesluit 2002/475/JBZ bedoelde, volgens nationaal recht strafbare feiten ».

In artikel 3, punt 9, van de « PNR-richtlijn » wordt « ernstige criminaliteit » gedefinieerd als « de in bijlage II bedoelde strafbare feiten, waarop in het nationale recht van een lidstaat een vrijheidsbenemende straf of een tot detentie strekkende maatregel met een maximumduur van ten minste drie jaar staat ».

Bijlage II, met als opschrift « Lijst van de in artikel 3, punt 9, bedoelde strafbare feiten », van de « PNR-richtlijn » bepaalt : « 1. deelneming aan een criminele organisatie, 2. mensenhandel, 3.seksuele uitbuiting van kinderen en kinderpornografie, 4. illegale handel in verdovende middelen en psychotrope stoffen, 5.illegale handel in wapens, munitie en explosieven, 6. corruptie, 7.fraude, met inbegrip van fraude ten nadele van de financiële belangen van de Unie, 8. witwassen van opbrengsten van criminaliteit en valsemunterij, met inbegrip van namaak van de euro, 9.computercriminaliteit/cybercriminaliteit, 10. milieumisdrijven, met inbegrip van de illegale handel in bedreigde diersoorten en de illegale handel in bedreigde planten- en boomsoorten, 11.hulp bij illegale binnenkomst en illegaal verblijf, 12. moord, zware mishandeling, 13.illegale handel in menselijke organen en weefsels, 14. ontvoering, wederrechtelijke vrijheidsberoving en gijzeling, 15.georganiseerde en gewapende diefstal, 16. illegale handel in cultuurgoederen, waaronder antiquiteiten en kunstvoorwerpen, 17.namaak van producten en productpiraterij, 18. vervalsing van administratieve documenten en handel in valse documenten, 19.illegale handel in hormonale stoffen en andere groeibevorderaars, 20. illegale handel in nucleaire of radioactieve stoffen, 21.verkrachting, 22. misdrijven die onder de rechtsmacht van het Internationaal Strafhof vallen, 23.kaping van vliegtuigen/schepen, 24. sabotage, 25.handel in gestolen voertuigen, 26. industriële spionage ». B.50.1. In de oorspronkelijke versie ervan bepaalde artikel 8 van de wet van 25 december 2016 : « § 1. De passagiersgegevens worden verwerkt met het oog op : 1° het opsporen en vervolgen, met inbegrip van de uitvoering van straffen of vrijheidsbeperkende maatregelen, met betrekking tot misdrijven bedoeld in artikel 90ter, § 2, 1°bis, 1°ter, 1°quater, 1°quinquies, 1°octies, 4°, 5°, 6°, 7°, 7°bis, 7°ter, 8°, 9°, 10°, 10°bis, 10°ter, 11°, 13°, 13°bis, 14°, 16°, 17°, 18°, 19° en § 3, van het Wetboek van Strafvordering;2° het opsporen en vervolgen, met inbegrip van de uitvoering van straffen of vrijheidsbeperkende maatregelen, met betrekking tot misdrijven bedoeld in de artikelen 196, voor wat betreft valsheid in authentieke en openbare geschriften, 198, 199, 199bis, 207, 213, 375 en 505 van het Strafwetboek;3° de preventie van ernstige inbreuken op de openbare veiligheid in het kader van gewelddadige radicalisering door het toezien op fenomenen en groeperingen overeenkomstig artikel 44/5, § 1, 2° en 3° en § 2, van de wet van 5 augustus 1992 op het politieambt;4° het toezien op activiteiten bedoeld in de artikelen 7, 1° en 3°/1, en 11, § 1, 1° tot 3° en 5°, van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst;5° het opsporen en vervolgen met betrekking tot de misdrijven bedoeld in artikel 220, § 2, van de algemene wet van 18 juli 1977 inzake douane en accijnzen en artikel 45, derde lid, van de wet van 22 december 2009 betreffende de algemene regeling inzake accijnzen. § 2. Onder de voorwaarden bepaald in hoofdstuk 11, worden de passagiersgegevens eveneens verwerkt ter verbetering van de controles van personen aan de buitengrenzen en ter bestrijding van illegale immigratie ».

Krachtens artikel 13, § 2, van de wet van 25 december 2016 « [mag,] onverminderd andere wettelijke bepalingen, [...] de PIE de gegevens die krachtens hoofdstuk 9 zijn bewaard, niet voor andere dan de in artikel 8 bedoelde doelen gebruiken ».

B.50.2.1. Zoals in B.13 is vermeld, is artikel 8, § 1, 1° en 5°, van de wet van 25 december 2016 daarenboven vervangen bij artikel 62 van de wet van 15 juli 2018.

B.50.2.2. Artikel 62 van de wet van 15 juli 2018 vervangt allereerst artikel 8, § 1, 1°, van de wet van 25 december 2016. Oorspronkelijk beoogd werden de « misdrijven bedoeld in artikel 90ter, § 2, 1°bis, 1°ter, 1°quater, 1°quinquies, 1°octies, 4°, 5°, 6°, 7°, 7°bis, 7°ter, 8°, 9°, 10°, 10°bis, 10°ter, 11°, 13°, 13°bis, 14°, 16°, 17°, 18°, 19° en § 3, van het Wetboek van Strafvordering ». Sinds de wijziging aangebracht bij artikel 62 van de wet van 15 juli 2018 worden beoogd de « misdrijven bedoeld in artikel 90ter, § 2, 2°, 3°, 7°, 8°, 11°, 14°, 17° tot 20°, 22°, 24° tot 28°, 30°, 32°, 33°, 34°, 36° tot 39°, 43° tot 45° en § 3, van het Wetboek van Strafvordering ». Gezien die wijzigingen is het beroep tot vernietiging zonder voorwerp geworden in zoverre artikel 8, § 1, 1°, van de wet van 25 december 2016 betrekking heeft op de misdrijven die zijn bedoeld in artikel 90ter, § 2, 1°bis, 1°ter, 1°quater, 1°quinquies, 1°octies, 4°, 5°, 6°, 7°bis, 7°ter, 9°, 10°, 10°bis, 10°ter, 13°, 13°bis en 16°, van het Wetboek van strafvordering. Daarentegen behoudt het beroep tot vernietiging zijn voorwerp in zoverre het is gericht tegen artikel 8, § 1, 1°, van de wet van 25 december 2016, daar bij dat artikel de misdrijven worden beoogd die zijn bedoeld in artikel 90ter, § 2, 7°, 8°, 11°, 14°, 17°, 18°, 19° en § 3, van het Wetboek van strafvordering.

De misdrijven bedoeld in artikel 90ter, § 2, 7°, 8°, 11°, 14°, 17°, 18°, 19° en § 3, van het Wetboek van strafvordering zijn de misdrijven bedoeld in artikel 210bis van het Strafwetboek (valsheid in informatica), in de artikelen 246, 247, 248, 249 en 250 van hetzelfde Wetboek (corruptie van personen die een openbaar ambt uitoefenen), in de artikelen 324bis en 324ter van hetzelfde Wetboek (deelname aan een criminele organisatie), in artikel 347bis van hetzelfde Wetboek (gijzelneming), in de artikelen 379, 380 en 383bis, §§ 1 en 3, van hetzelfde Wetboek (bederf van de jeugd, prostitutie en schennis van de goede zeden), in artikel 393 van hetzelfde Wetboek (doodslag) en in de artikelen 394 en 397 van hetzelfde Wetboek (moord en vergiftiging).

B.50.2.3. Artikel 62 van de wet van 15 juli 2018 vervangt vervolgens artikel 8, § 1, 5°, van de wet van 25 december 2016. Oorspronkelijk waren beoogd de « misdrijven bedoeld in artikel 220, § 2, van de algemene wet van 18 juli 1977 inzake douane en accijnzen en artikel 45, derde lid, van de wet van 22 december 2009 betreffende de algemene regeling inzake accijnzen ». Sinds de wijziging aangebracht bij artikel 62 van de wet van 15 juli 2018 zijn beoogd de « misdrijven bedoeld in artikel 220, § 2, van de algemene wet van 18 juli 1977 inzake douane en accijnzen, in artikel 45, derde lid, van de wet van 22 december 2009 betreffende de algemene regeling inzake accijnzen, in artikel 5 van de wet van 15 mei 2007 betreffende de bestraffing van namaak en piraterij van intellectuele eigendomsrechten, in artikel 26 van het decreet van de Duitstalige gemeenschap van 20 februari 2017 ter bescherming van roerende cultuurgoederen van uitzonderlijk belang alsook in artikel 24 van het decreet van de Vlaamse gemeenschap van 24 januari 2003 houdende bescherming van het roerend cultureel erfgoed van uitzonderlijk belang, het ministerieel besluit tot wijziging van het ministerieel besluit van 7 februari 2012 waarbij de invoer van goederen van oorsprong of van herkomst uit Syrië, aan een vergunning onderworpen wordt, zoals gewijzigd bij het ministerieel besluit van 1 juli 2014, het ministerieel besluit van 23 maart 2004 tot opheffing van het ministerieel besluit van 17 januari 2003 waarbij de in-, uit- en doorvoer van goederen van oorsprong of van herkomst uit of met bestemming Irak, aan een voorafgaande machtiging onderworpen wordt en waarbij de in-, uit- en doorvoer van zekere goederen van oorsprong, van herkomst uit of met bestemming Irak aan een vergunning onderworpen wordt alsook het opsporen van misdrijven bedoeld in artikel 5 van de wet van 28 juli 1981 houdende goedkeuring van de Overeenkomst inzake de internationale handel in bedreigde in het wild levende dier- en plantensoorten, en van de Bijlagen, opgemaakt te Washington op 3 maart 1973, alsmede van de Wijziging van de Overeenkomst, aangenomen te Bonn op 22 juni 1979 ».

Aangezien de wijziging aangebracht in artikel 8, § 1, 5°, van de wet van 25 december 2016 bij artikel 62 van de wet van 15 juli 2018 enkel het toepassingsgebied van de beoogde misdrijven uitbreidt, behoudt het beroep tot vernietiging zijn voorwerp in zoverre het is gericht tegen artikel 8, § 1, 5°, van de wet van 25 december 2016, daar dat artikel betrekking heeft op de « misdrijven bedoeld in artikel 220, § 2, van de algemene wet van 18 juli 1977 inzake douane en accijnzen en artikel 45, derde lid, van de wet van 22 december 2009 betreffende de algemene regeling inzake accijnzen ».

Bij die misdrijven wordt ernstige fiscale fraude, al dan niet georganiseerd, op het vlak van de wetgeving inzake douane en accijnzen beoogd.

B.50.3. Wat de door de « PNR-richtlijn » ingegeven doelstellingen betreft, wordt in de memorie van toelichting bij de wet van 25 december 2016 vermeld : « Het artikel 8 bepaalt op limitatieve wijze de doelen waarvoor de verwerking van de passagiersgegevens wordt toegelaten.

De § 1 betreft de [vijf] doeleinden die het corpus vormen en de essentie zelf zijn van het gebruik van de passagiersgegevens met het oog op het verbeteren van het veiligheidsniveau, in het bijzonder door een precieze, objectieve en professionele analyse van het risico en van de bedreiging die bepaalde passagiers kunnen vormen.

Het eerste doel heeft betrekking op het opsporen en vervolgen van ernstige inbreuken, met inbegrip van terroristische misdrijven die zijn opgenomen in artikel 90ter, § 2, 1°bis, 1°ter, 1°quater, 1°quinquies, 1°octies, 4°, 5°, 6°, 7°, 7°bis, 7°ter, 8°, 9°, 10°, 10°bis, 10°ter, 11°, 13°, 13°bis, 14°, 16°, 17°, 18°, 19° en § 3 van het Wetboek van Strafvordering. Artikel 90ter Sv. is in ons materieel recht de referentie in het kader van de kennisname van private communicatie et telecommunicatie, maar ook in tal van andere procedures om het proportionaliteitbeginsel te waarborgen (bijvoorbeeld inzake proactief opsporen of anonieme getuigenis).

De limitatieve lijst van artikel 90ter Sv. geeft een opsomming van de ernstige inbreuken die de interne en Europese veiligheid ernstig kunnen bedreigen en sluit dan ook precies aan bij de doelstelling van dit ontwerp.

De uitvoering van de straffen en de vrijheidsbeperkende maatregelen die verband houden met deze inbreuken, zijn woordelijk opgenomen in het doel. Bijvoorbeeld, een passagier staat gesignaleerd omdat hij in België bij verstek veroordeeld is tot 4 jaar gevangenis voor een inbreuk inzake drugshandel en zijn onmiddellijke aanhouding wordt bevolen, of in het kader van een maatregel tot invrijheidstelling onder voorwaarden in een dossier dat verband houdt met een ' foreign fighter ', heeft de onderzoekrechter als voorwaarde een verbod om het grondgebied te verlaten, ingesteld.

Dit doel is van gerechtelijke aard en valt derhalve onder de bevoegdheid van de politiediensten, de Douane en de gerechtelijke overheden.

Het tweede doel heeft betrekking op de categorieën van misdrijven die zijn vermeld in bijlage II bij de Europese PNR richtlijn en die niet zijn vervat in artikel 90ter Sv. Het betreft de vervalsing van administratieve documenten en handel in valse documenten, verkrachting en handel in gestolen voertuigen. De verwijzing naar art. 196 van het Strafwetboek heeft dan ook betrekking op de authentieke en openbare geschriften en omvat dus niet de handels- of bankgeschriften of private geschriften waarvan sprake in artikel 196, conform de Richtlijn.

De verwerking van de passagiersgegevens voor dit doeleinde beperkt zich tot de verwerking in het kader van gerichte opzoekingen zoals geregeld in artikel 27 van de wet. [...] Het vijfde doel heeft betrekking op de misdrijven douane en accijnzen uit annex II van de Europese PNR Richtlijn, zijnde fraude, met inbegrip van fraude ten nadele van de financiële belangen van de Unie » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, pp. 17-20).

B.50.4. De in artikel 8 van de wet van 25 december 2016 vermelde doeleinden bakenen op exhaustieve wijze de toegelaten verwerking van de passagiersgegevens af.

Zoals in B.12 is vermeld, moet artikel 8 van de wet van 25 december 2016 daarenboven worden geïnterpreteerd in het licht van de wet van 30 juli 2018.

In de in B.12.2 aangehaalde parlementaire voorbereiding van de wet van 30 juli 2018 wordt vermeld dat de doelen beoogd in artikel 8 van de wet van 25 december 2016 onder drie categorieën vallen : - de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen (artikel 8, § 1, 1°, 2°, 3° en 5°, van de wet van 25 december 2016); die verwerkingen worden geregeld bij titel 2 van de wet van 30 juli 2018; - de opdrachten van de inlichtingen- en veiligheidsdiensten als bedoeld in de artikelen 7 en 11 van de wet van 30 november 1998 (artikel 8, § 1, 4°, van de wet van 25 december 2016); die verwerkingen worden geregeld bij titel 3 van de wet van 30 juli 2018; - de verbetering van de controles van personen aan de buitengrenzen en de strijd tegen illegale immigratie (artikel 8, § 2, van de wet van 25 december 2016); die verwerkingen worden geregeld bij titel 2 van de wet van 30 juli 2018.

B.51.1. Uit hetgeen in B.50 is vermeld, blijkt dat sommige van de in artikel 8 van de wet van 25 december 2016 beoogde verwerkingsdoelen overeenstemmen met de in bijlage II van de « PNR-richtlijn » bedoelde misdrijven, overeenkomstig de in de richtlijn beoogde doelstellingen inzake het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware criminaliteit (artikel 8, § 1, 1°, 2° en 5°). Zoals in B.40.1 is vermeld, vormt het nastreven van die doelstellingen, door het verzamelen en het verwerken van de « PNR-gegevens », een doel van algemeen belang dat het mogelijk maakt een inmenging in het recht op eerbiediging van het privéleven en van de bescherming van persoonsgegevens, te verantwoorden.

B.51.2. De bewoordingen die worden gebruikt om die doeleinden te bepalen, zijn duidelijk en nauwkeurig gedefinieerd, aangezien zij verwijzen naar de misdrijven die zijn gedefinieerd bij de bepalingen van het Strafwetboek.

Dergelijke regels, die de misdrijven bepalen die men beoogt te voorkomen, op te sporen en te vervolgen, zijn duidelijk en nauwkeurig, en blijven beperkt tot wat strikt noodzakelijk is, overeenkomstig de in B.35 in herinnering gebrachte vereisten.

B.52.1. Daarentegen komen sommige doelstellingen van de verwerking van « PNR-gegevens » bovenop die waarin is voorzien bij de « PNR-richtlijn ». Dat geldt voor : - de « preventie van ernstige inbreuken op de openbare veiligheid in het kader van gewelddadige radicalisering door het toezien op fenomenen en groeperingen overeenkomstig artikel 44/5, § 1, 2° en 3° en § 2, van de wet van 5 augustus 1992 op het politieambt » (artikel 8, § 1, 3°); - het « toezien op activiteiten bedoeld in de artikelen 7, 1° en 3° /1, en 11, § 1, 1° tot 3° en 5°, van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst » (artikel 8, § 1, 4°); - de « verbetering van de controles van personen aan de buitengrenzen en [de] bestrijding van illegale immigratie » (artikel 8, § 2).

B.52.2. Er dient te worden onderzocht of die andere doelstellingen neergelegd zijn in duidelijke en nauwkeurige regels die beperkt blijven tot wat strikt noodzakelijk is, overeenkomstig de in B.35 in herinnering gebrachte vereisten.

B.53.1. Wat het in artikel 8, § 1, 3°, van de wet van 25 december 2016 beoogde doel betreft van preventie van ernstige inbreuken op de openbare veiligheid in het kader van gewelddadige radicalisering, wordt verwezen naar het toezien op « fenomenen » en « groeperingen » overeenkomstig artikel 44/5, § 1, 2° en 3° en § 2, van de wet van 5 augustus 1992 « op het politieambt » (hierna : de wet van 5 augustus 1992).

Artikel 44/1 van de wet van 5 augustus 1992 bepaalt dat, in het kader van de uitoefening van hun opdrachten, de politiediensten informatie en persoonsgegevens kunnen verwerken.

Wanneer de uitoefening van de opdrachten van bestuurlijke politie en van gerechtelijke politie vereist dat de politiediensten die persoonsgegevens en informatie structureren zodat ze rechtstreeks kunnen worden teruggevonden, worden die, overeenkomstig artikel 44/2 van de wet van 5 augustus 1992, verwerkt in een operationele politionele gegevensbank (1° de Algemene Nationale Gegevensbank, 2° de basisgegevensbanken of 3° de bijzondere gegevensbanken) volgens de eigen doelstellingen van elke categorie van gegevensbanken.

Artikel 44/5, § 1, 2° en 3° en § 2, van de wet van 5 augustus 1992 bepaalt : « De persoonsgegevens die voor doeleinden van bestuurlijke politie verwerkt worden in de gegevensbanken bedoeld in artikel 44/2, § 1, tweede lid, 1° en 2°, zijn : [...] 2° de gegevens met betrekking tot de personen die betrokken zijn bij fenomenen van bestuurlijke politie waaronder verstaan wordt het geheel van problemen die de openbare orde verstoren en die gepaste maatregelen van bestuurlijke politie vereisen omdat zij van dezelfde aard en terugkerend zijn, door dezelfde personen gepleegd worden of gericht zijn op dezelfde categorieën van slachtoffers of plaatsen;3° de gegevens met betrekking tot de leden van een nationale of internationale groepering die de openbare orde zoals bedoeld in artikel 14 zou kunnen verstoren; [...] § 2. De lijst met de fenomenen bedoeld in § 1, 2° en de groeperingen bedoeld in § 1, 3°, wordt minstens jaarlijks uitgewerkt door de minister van Binnenlandse Zaken, op basis van een gezamenlijk voorstel van de federale politie, het Coördinatieorgaan voor de dreigingsanalyse en de inlichtingen- en veiligheidsdiensten. ».

B.53.2. Wat het in artikel 8, § 1, 3°, beoogde doel betreft, wordt in de memorie van toelichting vermeld : « Het derde doel ligt in de lijn van de uitoefening van de opdrachten van bestuurlijke politie van de politiediensten.

Overeenkomstig de wet op het politieambt kunnen de politiediensten, in het kader van de uitoefening van hun opdrachten van bestuurlijke politie, persoonsgegevens verwerken voor zover ze toereikend, ter zake dienend en niet overmatig van aard zijn.

Dit specifiek [doel] kadert binnen een globale aanpak van het fenomeen dat verbonden is met gewelddadige radicalisering die een rechtstreekse impact heeft op de bescherming van de belangen die door dit voorontwerp van wet worden verdedigd.

Omzendbrief GPI 78 van 31 januari 2014 omschrijft gewelddadige radicalisering als ' een proces waardoor een individu of een groep dusdanig beïnvloed wordt dat het individu of de groep in kwestie mentaal bereid is om extremistische daden te plegen, gaande tot gewelddadige of zelfs terroristische handelingen '.

Het is essentieel dat in het kader van het volgen van het radicalisme of van de hiermee verbonden groeperingen die een ernstige bedreiging vormen voor de openbare orde, de passagiersgegevens ook beperkt kunnen worden gebruikt. Hierbij denken we bijvoorbeeld aan de aanwezigheid op ons grondgebied tijdens al dan niet geplande evenementen van leden van een groepering die extremistische ideeën uitdragen die in strijd zijn met de democratische waarden en principes.

De informatie die hierbij wordt verwerkt, mag enkel dienen om maatregelen te nemen teneinde de openbare orde te waarborgen. Indien men bijvoorbeeld te weten komt dat een 30-tal leden van een groepering van plan zijn om naar België te komen voor een samenkomst, zullen er meer aangepaste maatregelen voor de handhaving van de openbare orde kunnen worden genomen (versterking van het apparaat, speciale middelen,...).

In dit opzicht is dit doel uiterst beperkend in de toepassing ervan.

Immers, enkel het fenomeen van gewelddadige radicalisering en de hiermee verbonden groeperingen zoals vermeld in een gesloten lijst, die jaarlijks wordt opgesteld door de minister van Binnenlandse Zaken, na advies van de Federale Politie, het OCAD en de inlichtingen- en veiligheidsdiensten, kunnen de verwerking rechtvaardigen. Het gaat hier dus niet om het verwerken van passagiersgegevens voor eender welk evenement of wanneer de openbare orde dreigt verstoord te geraken.

Bovendien beperkt het ontworpen artikel 24, § 3 sterk de verwerkingswijzen en -voorwaarden en sluit het bovenvermeld artikel het gebruik van risicoprofielen uit dit doel. Artikel 27 sluit gericht opzoekingswerk uit dit doel (cfr. infra) » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, pp. 18-19).

De minister van Veiligheid en Binnenlandse Zaken heeft ook gepreciseerd dat het begrip « gewelddadige radicalisering » « in de zin van de omzendbrief [moet] worden begrepen » (Parl. St., Kamer, 2015-2016, DOC 54-2069/003, p. 31).

B.53.3. Uit het voorgaande blijkt dat het doel van preventie van ernstige inbreuken op de openbare veiligheid in het kader van gewelddadige radicalisering beperkt is tot een ernstige bedreiging voor de openbare orde die voortvloeit uit de gewelddadige radicalisering in de zin van de ministeriële omzendbrief GPI 78 van 31 januari 2014 « betreffende de informatieverwerking ten voordele van een geïntegreerde aanpak van terrorisme en gewelddadige radicalisering door de politie » (hierna : de ministeriële omzendbrief).

B.53.4. Dat doel maakt daarenboven, in het kader van de voorafgaande beoordeling van de passagiers, het voorwerp uit van een beperktere verwerking dan de andere doelstellingen van preventie en opsporing van de in artikel 8, § 1, van de wet van 25 december 2016 bedoelde strafrechtelijke misdrijven.

Zo bepaalt artikel 24, § 3, van de wet van 25 december 2016 dat, in het kader van de doeleinden beoogd in artikel 8, § 1, 3°, « de voorafgaande beoordeling van de passagiers op een positieve overeenstemming [berust], voortvloeiende uit een correlatie van de passagiersgegevens met de gegevensbanken bedoeld in § 2, 1° ».

Bovendien bepaalt artikel 26, § 1, van de wet van 25 december 2016 dat, voor het in artikel 8, § 1, 3°, bedoelde doel enkel de passagiersgegevens bedoeld in artikel 9, § 1, 18° (« API-gegevens ») met betrekking tot de persoon of personen voor wie een positieve overeenstemming werd gegenereerd, toegankelijk zullen zijn. Tot slot sluit artikel 27 van de wet van 25 december 2016 uit gerichte opzoekingen te verrichten voor de doelstellingen beoogd in artikel 8, § 1, 3°.

In de parlementaire voorbereiding van de wet van 25 december 2016 wordt uiteengezet : « Paragraaf 3 van artikel 24 betreft de voorafgaande beoordeling in het kader van het doel met betrekking tot het toezien op fenomenen van bestuurlijke politie en groeperingen die verbonden zijn met gewelddadige radicalisering.

Dit doel is aan veel strengere voorwaarden onderworpen dan de andere doelen. De voorafgaande beoordeling in dit kader kan zich enkel baseren op een correlatie met de gegevensbanken van de politiediensten. Er kan geen enkel vooraf bepaald criterium worden toegepast. Deze beperkende voorwaarden zijn gewettigd door het feit dat de verwerking meestal is gelinkt aan het eventueel onmiddellijk nemen van een maatregel om de openbare orde te waarborgen. Het is bijvoorbeeld noodzakelijk dat de diensten worden ingelicht over de komst op ons grondgebied van een persoon die opgenomen is op de lijst van een op te volgen groepering. We herinneren er in dit verband aan dat het opstellen van deze lijsten aan strikte voorwaarden is onderworpen en dat enkel de personen die een ernstige dreiging vormen voor de openbare orde in verband met gewelddadige radicalisering, hierin zijn opgenomen. Het louter deelnemen aan bijvoorbeeld een antiglobalistische betoging vormt geen afdoend criterium » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, p. 30).

B.53.5. Hoewel de begrippen « fenomenen » en « groeperingen » in artikel 44/5, § 1, 2° en 3°, en § 2, van de wet van 5 augustus 1992 zijn gedefinieerd, geldt hetzelfde echter niet voor het begrip « gewelddadige radicalisering », dat niet wettelijk is gedefinieerd.

Niettemin wordt het « radicaliseringsproces » bij artikel 3, 15°, van de wet van 30 november 1998 « houdende regeling van de inlichtingen- en veiligheidsdiensten » (hierna : de wet van 30 november 1998) gedefinieerd als « een proces waarbij een individu of een groep van individuen op dusdanige wijze wordt beïnvloed dat dit individu of deze groep van individuen mentaal gevormd wordt of bereid is tot het plegen van terroristische handelingen ».

Daarenboven wordt in artikel M.1 van de ministeriële omzendbrief « gewelddadige radicalisering » als volgt gedefinieerd : « Gewelddadige radicalisering is een proces waardoor een individu of een groep dusdanig beïnvloed wordt dat het individu of de groep in kwestie mentaal bereid is om extremistische daden te plegen, gaande tot gewelddadige of zelfs terroristische handelingen. Het adjectief ' gewelddadig ' wordt hierbij gebruikt om een duidelijk onderscheid te maken tussen enerzijds niet strafbare denkbeelden en de uiting hiervan en anderzijds de misdrijven of handelingen die een gevaar zijn voor de openbare veiligheid die gepleegd worden om deze denkbeelden te realiseren of de intentie tot het plegen van deze misdrijven of handelingen.

Onder extremistisch geweld verstaan we geweld tegen personen of goederen dat wordt gepleegd vanuit een ideologische, politieke of religieuze motivatie zonder dat dit echter voldoet aan de strafrechtelijke definitie van terrorisme ».

Hoewel het begrip « gewelddadige radicalisering » niet wettelijk gedefinieerd is, wijst de definitie ervan door middel van de ministeriële omzendbrief erop dat het wordt begrepen via de in artikel 44/5, § 1, 2° en 3°, en § 2, van de wet van 5 augustus 1992 wettelijk gedefinieerde begrippen « fenomenen » en « groeperingen ». Een dergelijke maatregel is dus niet zonder duidelijkheid en nauwkeurigheid.

B.53.6. Die definitie doet bovendien blijken dat « gewelddadige radicalisering », begrepen via « fenomenen » en « groeperingen », in rechtstreeks verband staat met terroristische handelingen of zware criminaliteit, die zowel de « PNR-richtlijn » als de wet van 25 december 2016 beogen te voorkomen, op te sporen en te vervolgen.

Een dergelijke maatregel is dus duidelijk en nauwkeurig en is niet onevenredig gezien de te dezen nagestreefde legitieme doelstellingen.

B.54.1. Overeenkomstig artikel 8, § 1, 4°, van de wet van 25 december 2016 beoogt de verwerking van de « PNR-gegevens » het toezien op activiteiten bedoeld in de artikelen 7, 1° en 3°/1, en 11, § 1, 1° tot 3° en 5°, van de wet van 30 november 1998. Artikel 7 van de wet van 30 november 1998 bepaalt : « De Veiligheid van de Staat heeft als opdracht : 1° het inwinnen, analyseren en verwerken van inlichtingen die betrekking hebben op elke activiteit die de inwendige veiligheid van de Staat en het voortbestaan van de democratische en grondwettelijke orde, de uitwendige veiligheid van de Staat en de internationale betrekkingen, het wetenschappelijk of economisch potentieel, zoals gedefinieerd door de Nationale Veiligheidsraad, of elk ander fundamenteel belang van het land, zoals gedefinieerd door de Koning op voorstel van de Nationale Veiligheidsraad, bedreigt of zou kunnen bedreigen; [...] 3°/1 het inwinnen, analyseren en verwerken van inlichtingen die betrekking hebben op de activiteiten van buitenlandse inlichtingendiensten op Belgisch grondgebied; [...] ».

Artikel 11, § 1, van de wet van 30 november 1998 bepaalt : « De Algemene Dienst Inlichting en Veiligheid heeft als opdracht : 1° het inwinnen, analyseren en verwerken van inlichtingen die betrekking hebben op de factoren die de nationale en internationale veiligheid beïnvloeden of kunnen beïnvloeden in die mate dat de Krijgsmacht betrokken is of zou kunnen worden om inlichtingensteun te bieden aan hun lopende of eventuele komende operaties, alsook de inlichtingen die betrekking hebben op elke activiteit die : a) de onschendbaarheid van het nationaal grondgebied of de bevolking, b) de militaire defensieplannen, c) het wetenschappelijk en economisch potentieel met betrekking tot de actoren, zowel de natuurlijke als de rechtspersonen, die actief zijn in de economische en industriële sectoren die verbonden zijn met defensie en die opgenomen zijn in een op voorstel van de minister van Justitie en de minister van Landsverdediging door de Nationale Veiligheidsraad goedgekeurde lijst, d) de vervulling van de opdrachten van de strijdkrachten, e) de veiligheid van de Belgische onderdanen in het buitenland, f) elk ander fundamenteel belang van het land, zoals gedefinieerd door de Koning op voorstel van de Nationale Veiligheidsraad, bedreigt of zou kunnen bedreigen; en er de bevoegde ministers onverwijld over inlichten alsook de regering, op haar verzoek, advies te verlenen bij de omschrijving van haar binnen- en buitenlands beleid inzake veiligheid en defensie; 2° het zorgen voor het behoud van de militaire veiligheid van het personeel dat onder de Minister van Landsverdediging ressorteert, de militaire installaties, wapens en wapensystemen, munitie, uitrusting, plannen, geschriften, documenten, informatica- en verbindingssystemen of andere militaire voorwerpen en, in het kader van de cyberaanvallen op wapensystemen, militaire informatica- en verbindingssystemen of systemen die de Minister van Landsverdediging beheerst, de aanval neutraliseren en er de daders van identificeren, onverminderd het recht onmiddellijk met een eigen cyberaanval te reageren overeenkomstig de bepalingen van het recht van de gewapende conflicten;3° het beschermen van het geheim dat, krachtens de internationale verbintenissen van België of teneinde de onschendbaarheid van het nationaal grondgebied en de vervulling van de opdrachten van de strijdkrachten te verzekeren, verbonden is met de militaire installaties, wapens, munitie, uitrusting, met de plannen, geschriften, documenten of andere militaire voorwerpen, met de militaire inlichtingen en verbindingen, alsook met de militaire informatica- en verbindingssystemen of die systemen die de Minister van Landsverdediging beheert; [...] 5° het inwinnen, analyseren en verwerken van inlichtingen die betrekking hebben op de activiteiten van buitenlandse inlichtingendiensten op Belgisch grondgebied ». B.54.2. Wat dat doel betreft, wordt in de memorie van toelichting vermeld : « Het vierde doel heeft betrekking op de bevoegdheden van de inlichtingendiensten, namelijk de Veiligheid van de Staat en de Algemene Dienst Inlichting en Veiligheid (ADIV). Om hun opdrachten inzake opzoeking, analyse en verwerking van inlichtingen met betrekking tot de activiteiten die de fundamentele belangen van de Staat kunnen bedreigen, uit te voeren, moeten deze diensten in staat zijn de passagiersgegevens te analyseren teneinde concrete dreigingen zo vroeg mogelijk op te sporen, verplaatsingen van specifieke personen te volgen of analyses van fenomenen of tendensen in de ruimere zin op te stellen. De opdrachten inzake het inwinnen, analyseren en verwerken van inlichtingen die betrekking hebben op de activiteiten van buitenlandse inlichtingendiensten op Belgisch grondgebied ressorteren ook onder dit doel.

De Veiligheid van de Staat vervult een onmisbare rol in het opsporen en bewaken van ' foreign fighters ', maar ook in andere destabiliserende activiteiten zoals die gelinkt aan criminele of extremistische organisaties.

De ADIV oefent in het bijzonder opdrachten uit die verband houden met de bescherming van de integriteit van het nationaal grondgebied, met de bescherming van onze strijdkrachten op missie in het buitenland en met betrekking tot de veiligheid van de Belgen in het buitenland.

Ten slotte neemt de actie van de inlichtingendiensten in tal van gevallen ook deel aan het politionele en gerechtelijke antwoord achteraf in het licht van het eerste doel » (ibid., pp. 19-20).

B.54.3. Hoewel de opdrachten van de inlichtingen- en veiligheidsdiensten in het algemeen bijdragen tot de nationale en internationale veiligheid, lijkt de verwerking van de « PNR-gegevens » in het licht van het doel beoogd in artikel 8, § 1, 4°, van de wet van 25 december 2016 zeer vaag en algemeen.

Dat doel maakt bovendien, wat betreft de voorafgaande beoordeling van de passagiers, het voorwerp uit van dezelfde verwerking als de doelstellingen beoogd in artikel 8, § 1, 1°, 2° en 5°, van de wet van 25 december 2016 (artikelen 24, § 2, en 26, § 2).

B.54.4. In die context dient, teneinde te oordelen of dat doel voldoende duidelijk, nauwkeurig en tot het strikt noodzakelijke beperkt is, aan het Hof van Justitie van de Europese Unie de in het dictum opgenomen vijfde prejudiciële vraag te worden gesteld.

B.55.1. Tot slot maakt artikel 8, § 2, van de wet van 25 december 2016 het mogelijk de « PNR-gegevens » te verwerken, onder de voorwaarden bepaald in hoofdstuk 11 (artikelen 28 tot 31) van de wet van 25 december 2016, ter verbetering van de controles van personen aan de buitengrenzen en meer precies ter bestrijding van de illegale immigratie.

B.55.2. Wat dat doel betreft, wordt in de memorie van toelichting aangegeven : « Het is noodzakelijk en onvermijdelijk dat de politiediensten en de Dienst Vreemdelingenzaken betrokken worden bij de aanpak van de fenomenen van gewelddadige radicalisering, van ' foreign fighters ', van ' returnees ' en bij de strijd tegen het terrorisme en de grootschalige criminaliteit, zoals de mensenhandel en de mensensmokkel [...] Het is dus van wezenlijk belang dat de politiediensten en de Dienst Vreemdelingenzaken in het kader van de controle aan de buitengrenzen en op het grondgebied, alsook in het kader van de verblijfs- en asielprocedures, gebruik kunnen maken van bepaalde passagiersgegevens.

Ze zullen dus toegang hebben tot bepaalde passagiersgegevens, en dit gedurende een beperkte periode. De bedoeling is dus dat de politiediensten en de Dienst Vreemdelingenzaken in staat zijn om hun wettelijke opdrachten correct uit te voeren en dat tegelijkertijd gegarandeerd wordt dat de persoonsgegevens, met het oog op de nagestreefde doelstellingen, afdoende beschermd worden.

De passagiersgegevensbank is een onontbeerlijk instrument voor hun acties. De passagiersgegevens waartoe ze toegang zullen hebben of die aan hen zullen moeten worden doorgegeven, helpen hen bij de uitvoering van hun taken, zoals de identificatie van de personen, de verificatie van de authenticiteit en de geldigheid van de documenten die gebruikt werden om België binnen te komen, er te verblijven of het land te verlaten (identiteitsdocument, paspoort, visa, verblijfsdocument of -titel, transporttickets, enz.), de verificatie van de verklaringen van de betrokken personen, de motivering en de uitvoering van de beslissingen die ter zake worden genomen.

Ze zullen dus worden gebruikt in het kader van de visumprocedures, tijdens de controles die aan de buitengrenzen en op het grondgebied worden uitgevoerd, voor de opvolging van het verblijf of voor de uitvoering van de verwijderingsmaatregelen. Ze zullen ook kunnen worden gebruikt in de asielprocedures, voor de bepaling van de Staat die verantwoordelijk is voor de asielaanvraag en voor het nemen van een beslissing, met inbegrip van de intrekking van de vluchtelingenstatus of de subsidiaire bescherming » (ibid., pp. 9-10). « De tweede paragraaf geeft toestemming voor de verwerking van de passagiersgegevens inzake migratie en asiel.

De overheden die bevoegd zijn voor de materie, zullen deze gegevens dus kunnen verwerken in het kader van de uitvoering van de opdrachten die aan hen worden toegekend, in het bijzonder met het oog op het verbeteren van de grenscontrole en het bestrijden van illegale immigratie.

Deze verwerking zal plaatsvinden binnen de vastgelegde grenzen die voorzien worden in hoofdstuk XI » (ibid., p. 20). « De doelen van de verwerking van de passagiersgegevens zijn identiek aan die van de richtlijn 2004/82/EG. Uit de overwegingen en het dispositief blijkt duidelijk dat de richtlijn hoofdzakelijk de controle van de migratiestromen, de strijd tegen de illegale immigratie, de verbetering van de controles aan de buitengrenzen en de bescherming van de openbare orde en de nationale veiligheid beoogt » (ibid., p. 33).

De afdeling wetgeving van de Raad van State heeft eveneens doen opmerken : « In de artikelen 28 en 29, die behoren tot hoofdstuk XI - De verwerking van de passagiersgegevens ter verbetering van de grenscontroles en ter bestrijding van de illegale immigratie, van het voorontwerp wordt het begrip ' buitengrenzen ' van België gebruikt.

Dat begrip buitengrenzen wordt gedefinieerd in artikel 2, b), van richtlijn 2004/82/EG dat meer bepaald bij hoofdstuk XI van het voorontwerp wordt omgezet » (ibid., p. 97).

B.55.3. De verwerking van de passagiersgegevens wat betreft het doel beoogd in artikel 8, § 2, wordt afgebakend door de artikelen 28 tot 31 van de wet van 25 december 2016.

Enkel de passagiersgegevens bedoeld in artikel 9, § 1, 18°, van de wet van 25 december 2016 worden doorgegeven aan de politiediensten bedoeld in artikel 14, § 1, 2°, a) en aan de Dienst Vreemdelingenzaken, om hen in staat te stellen hun wettelijke opdrachten te vervullen (artikel 29). Enkel betrokken zijn de passagiers die van plan zijn om het grondgebied via de buitengrenzen van België te betreden of het grondgebied via de buitengrenzen van België betreden hebben (artikel 29, § 2, 1°), de passagiers die van plan zijn om het grondgebied via de buitengrenzen van België te verlaten of het grondgebied via de buitengrenzen van België verlaten hebben (artikel 29, § 2, 2°) en de passagiers die van plan zijn om via een in België gelegen internationale transitzone te passeren, die zich in een in België gelegen internationale transitzone bevinden of die via een in België gelegen transitzone gepasseerd zijn (artikel 29, § 2, 3°).

Die gegevens worden onmiddellijk na hun registratie in de passagiersgegevensbank doorgestuurd naar de politiediensten zoals bedoeld in artikel 14, § 1, 2°, a) en aan de Dienst Vreemdelingenzaken wanneer de dienst die gegevens nodig heeft voor de vervulling van zijn wettelijke opdrachten; die gegevens worden bewaard in een tijdelijk bestand en vernietigd binnen de vierentwintig uur na doorsturing (artikel 29, §§ 3 en 4). Na die termijn kan de Dienst Vreemdelingenzaken ook een afdoende gemotiveerde aanvraag tot de PIE richten teneinde tot die gegevens toegang te hebben (artikel 29, § 4, tweede lid). De Dienst Vreemdelingenzaken stuurt maandelijks een verslag naar de Commissie voor de bescherming van de persoonlijke levenssfeer - thans de Gegevensbeschermingsautoriteit - betreffende de toepassing van artikel 29, § 4, tweede lid (artikel 29, § 4, derde lid).

Een protocol dat de technische beveiligings- en toegangsregels preciseert, alsook de nadere regels voor de doorgifte van de passagiersgegevens aan de politiediensten belast met de grenscontroles en aan de Dienst Vreemdelingenzaken, moet worden afgesloten, in overleg met de functionaris voor de gegevensbescherming en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer (Gegevensbeschermingsautoriteit), tussen, enerzijds, de leidend ambtenaar van de PIE en, anderzijds, de Commissaris-generaal van de federale politie en de leidend ambtenaar van de Dienst Vreemdelingenzaken (artikel 30).

De vervoerders en de reisoperatoren vernietigen, binnen de vierentwintig uur na het einde van het in artikel 4, 3° tot 6°, bedoelde vervoer, alle in artikel 9, § 1, 18°, bedoelde passagiersgegevens, die ze overeenkomstig artikel 7 doorsturen (artikel 31, zoals gewijzigd bij de wet van 15 juli 2018).

B.55.4. Uit het voorgaande volgt dat alleen de « API-gegevens », bedoeld in artikel 9, § 1, 18°, van de wet van 25 december 2016, van sommige categorieën van passagiers, onder de voorwaarden bepaald in hoofdstuk 11 van de wet van 25 december 2016, kunnen worden verwerkt in het licht van het in artikel 8, § 2, van de wet van 25 december 2016 vermelde doel, dat verband houdt met de bestrijding van de illegale immigratie en de controle aan de buitengrenzen.

Zoals is vermeld in de in B.55.2 aangehaalde parlementaire voorbereiding, past een dergelijke maatregel in het kader van de omzetting van de richtlijn 2004/82/EG, waarvan de doelstelling, zoals aangegeven in de eerste overweging ervan, erin bestaat illegale immigratie doeltreffend te bestrijden en de grenscontroles te verbeteren. Meer in het bijzonder, neemt hoofdstuk 11 van de wet van 25 december 2016, met enkele aanpassingen, de inhoud over van het koninklijk besluit van 11 december 2006 « betreffende de verplichting voor luchtvervoerders om passagiersgegevens door te geven », dat, vóór de opheffing ervan bij het koninklijk besluit van 18 juli 2017, de richtlijn 2004/82/EG in intern recht omzette.

B.55.5. Gelet op de verschillende, in B.55.3 vermelde beperkingen, waarmee de verwerking van de gegevens in het kader van het doel beoogd in artikel 8, § 2, gepaard gaat, is die maatregel voldoende duidelijk, nauwkeurig en tot het strikt noodzakelijke beperkt en dus niet onevenredig. 6. Het beheer van de passagiersgegevensbank en de verwerking van de gegevens in het kader van de voorafgaande beoordeling van de passagiers en van de gerichte opzoekingen (artikelen 12 tot 16, 24 tot 27, 50 en 51) B.56. De verzoekende partij is van mening dat de verschillende verwerkingen en stromen van persoonsgegevens kennelijk onevenredig zijn.

Enerzijds bekritiseert zij de oprichting van de passagiersgegevensbank, beheerd door de PIE, binnen de FOD Binnenlandse Zaken met het oog op de uitwisseling van inlichtingen met de buitenlandse PIE's en Europol. Zij is van mening dat de verwerking van de passagiersgegevens niet de oprichting van een gegevensbank vereiste.

Anderzijds bekritiseert zij de correlatie tussen de gegevensbanken en de methode van « pre-screening », die zou moeten worden uitgevoerd op grond van vooraf vastgestelde criteria die dienen als indicatoren van de dreiging.

Ten slotte bekritiseert zij het feit dat de uit de bevoegde diensten gedetacheerde leden zich zullen kunnen uitspreken over een verzoek om individuele toegang in het kader van gerichte opzoekingen.

B.57.1. Krachtens artikel 4, lid 1, van de « PNR-richtlijn » richt elke lidstaat een instantie op of wijst die een bestaande instantie aan die bevoegd is terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken of te vervolgen, of wijst die een afdeling van een dergelijke instantie aan, om op te treden als zijn PIE. Overeenkomstig artikel 4, lid 2, van de « PNR-richtlijn », heeft de PIE tot taak : « a) de PNR-gegevens van de luchtvaartmaatschappijen te verzamelen, op te slaan en te verwerken, en die gegevens of het resultaat van de verwerking ervan aan de in artikel 7 bedoelde bevoegde instanties door te geven; b) zowel de PNR-gegevens als het resultaat van de verwerking ervan met de PIE's van andere lidstaten en met Europol uit te wisselen, overeenkomstig de artikelen 9 en 10 ». B.57.2. Ten aanzien van de gegevensverwerking bepaalt artikel 6 van de « PNR-richtlijn » : « 1. De door de luchtvaartmaatschappij doorgegeven PNR-gegevens worden door de PIE van de betrokken lidstaat verzameld overeenkomstig artikel 8. Indien de door de luchtvaartmaatschappij doorgegeven PNR-gegevens andere dan de in bijlage I vermelde PNR-gegevens bevatten, worden zij door de PIE onmiddellijk na ontvangst definitief gewist.2. De PIE verwerkt de PNR-gegevens uitsluitend voor de volgende doeleinden : a) het beoordelen van de passagiers vóór hun geplande aankomst in of gepland vertrek uit de lidstaat, om te bepalen welke personen moeten worden onderworpen aan een nader onderzoek door de in artikel 7 bedoelde bevoegde instanties, en, in voorkomend geval, door Europol overeenkomstig artikel 10, omdat zij betrokken zouden kunnen zijn bij een terroristisch misdrijf of bij ernstige criminaliteit;b) het per geval inwilligen van een op afdoende gronden gebaseerd, gemotiveerd verzoek van de bevoegde instanties om in bepaalde gevallen PNR-gegevens te verstrekken en te verwerken voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit, en de resultaten van deze verwerking aan die instanties of, in voorkomend geval, aan Europol mee te delen;en c) het analyseren van PNR-gegevens voor het bijstellen van bestaande of het formuleren van nieuwe criteria die moeten worden gebruikt bij de beoordelingen die worden verricht op grond van lid 3, onder b), om te bepalen welke personen betrokken zouden kunnen zijn bij een terroristisch misdrijf of bij ernstige criminaliteit.3. Bij de verrichting van de in lid 2, onder a), bedoelde beoordeling kan de PIE : a) de PNR-gegevens vergelijken met databanken die relevant zijn voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, met name databanken in verband met gezochte of gesignaleerde personen of voorwerpen, in overeenstemming met de op zulke databanken van toepassing zijnde Unie-, internationale en nationale voorschriften;of b) de PNR-gegevens verwerken overeenkomstig vooraf bepaalde criteria.4. Het beoordelen van passagiers vóór hun geplande aankomst in of gepland vertrek uit de lidstaat op grond van lid 3, onder b), volgens vooraf bepaalde criteria wordt op niet-discriminerende wijze verricht. Deze vooraf bepaalde criteria moeten doelgericht, evenredig en specifiek zijn. De lidstaten zorgen ervoor dat deze criteria door de PIE worden vastgesteld en regelmatig worden getoetst, in samenwerking met de in artikel 7 bedoelde bevoegde instanties. Deze criteria mogen onder geen beding gebaseerd zijn op ras, etnische afstamming, religieuze, levensbeschouwelijke of politieke overtuiging, vakbondslidmaatschap, gezondheid, seksleven of seksuele geaardheid van de betrokkene. 5. De lidstaten zorgen ervoor dat elke positieve overeenkomst die voortvloeit uit het automatisch verwerkingsproces van de PNR-gegevens dat wordt uitgevoerd op grond van lid 2, onder a), per geval wordt gecontroleerd op een nietgeautomatiseerde wijze om te bepalen of de in artikel 7 bedoelde bevoegde instantie maatregelen moet treffen overeenkomstig het nationale recht.6. De PNR-gegevens van de overeenkomstig lid 2, onder a), aangemerkte personen of het verwerkingsresultaat van die gegevens worden door de PIE van een lidstaat voor nader onderzoek aan de in artikel 7 bedoelde bevoegde instanties van diezelfde lidstaat doorgezonden.Tot die doorgifte kan alleen per geval worden besloten en, in geval van geautomatiseerde verwerking van PNR-gegevens, na een afzonderlijke niet-geautomatiseerde controle. 7. De lidstaten zorgen ervoor dat de functionaris voor gegevensbescherming toegang heeft tot alle gegevens die door de PIE worden verwerkt.Indien de functionaris voor gegevensbescherming oordeelt dat een verwerking van gegevens niet rechtmatig was, kan hij de zaak naar de nationale toezichthoudende autoriteit verwijzen. 8. Het opslaan, verwerken en analyseren van PNR-gegevens door de PIE geschiedt uitsluitend op een beveiligde locatie of beveiligde locaties op het grondgebied van de lidstaten.9. Het resultaat van de in lid 2, onder a), van dit artikel bedoelde beoordeling laat onverlet het in Richtlijn 2004/38/EG van het Europees Parlement en de Raad neergelegde recht van personen die het Unierecht van vrij verkeer genieten, om het grondgebied van de betrokken lidstaat te betreden.Bovendien moeten de gevolgen van die beoordeling, indien verricht met betrekking tot vluchten binnen de EU tussen lidstaten waarop Verordening (EG) nr. 562/2006 van het Europees Parlement en de Raad van toepassing is, in overeenstemming zijn met die verordening ». a) Het beheer van de passagiersgegevensbank door de PIE (artikelen 12 tot 16) B.58.1. Krachtens artikel 5 van de wet van 25 december 2016 verzamelt en stuurt iedere vervoerder en reisoperator de gegevens van de passagiers van, naar en op doorreis over het nationaal grondgebied, waarover hij beschikt, door, met het oog op de registratie ervan in de passagiersgegevensbank bedoeld in artikel 15. Krachtens artikel 6 van de wet van 25 december 2016 informeren de vervoerders en de reisoperatoren de betrokken personen dat hun gegevens doorgestuurd worden naar de PIE en achteraf kunnen worden verwerkt voor de in artikel 8 beoogde doelen.

Die passagiersgegevensbank wordt beheerd door de PIE, opgericht binnen de Federale Overheidsdienst Binnenlandse Zaken (artikel 12). De PIE is belast met het verzamelen, het bewaren en het verwerken van passagiersgegevens, alsook met het beheer van de passagiersgegevensbank, en met de uitwisseling van de gegevens en de resultaten van de verwerking ervan met de PIE's van de andere lidstaten van de Europese Unie en met Europol (artikel 13). De PIE is samengesteld uit een leidend ambtenaar, bijgestaan door een ondersteunende dienst, en uit de bevoegde diensten gedetacheerde leden (artikel 14).

B.58.2. Overeenkomstig artikel 15, § 1, van de wet van 25 december 2016 wordt een passagiersgegevensbank opgericht die door de Federale Overheidsdienst Binnenlandse Zaken wordt beheerd en waarin passagiersgegevens worden geregistreerd. De leidend ambtenaar van de PIE is de verantwoordelijke voor de verwerking van de passagiersgegevens in de zin van artikel 1, § 4, van de wet van 8 december 1992 « tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens » (artikel 15, § 2).

De verwerkingen van de passagiersgegevens uitgevoerd volgens de bestreden wet worden onderworpen aan de voormelde wet van 8 december 1992 (artikel 15, § 4).

In het kader van de doelstellingen beoogd in artikel 8, § 1, is de passagiersgegevensbank rechtstreeks toegankelijk door de PIE voor de verwerkingen bedoeld in de artikelen 24 tot 27, overeenkomstig de bepalingen waarin hoofdstuk 9 voorziet (artikel 16). Hoofdstuk 9, dat de artikelen 18 tot 23 bevat, van de wet van 25 december 2016 bepaalt de termijnen gedurende welke de passagiersgegevens worden bewaard.

Een protocol waarbij de technische beveiligings- en toegangsregels worden uitgewerkt, wordt gesloten door de leidend ambtenaar van de PIE en de bevoegde diensten, na overleg met de functionaris voor de gegevensbescherming en na advies van de bevoegde toezichthoudende autoriteit voor de verwerking van persoonsgegevens (artikel 17, zoals vervangen bij de wet van 15 juli 2018).

B.58.3. In verband met de oprichting van de passagiersgegevensbank wordt in de parlementaire voorbereiding uiteengezet : « De eerste paragraaf voorziet in de oprichting van de Passagiersgegevensbank. Om de in artikel 9 bedoelde passagiersgegevens te verwerken en te analyseren, is het immers noodzakelijk deze in een specifieke gegevensbank te verwerken, om ze te kunnen structureren, exploiteren en vernietigen na een bepaalde termijn.

Aangezien het ultieme doel van de gegevensverwerking erin bestaat de veiligheid van de burgers te verzekeren, wordt de gegevensbank beheerd door de FOD Binnenlandse Zaken. De leidend ambtenaar wordt aangewezen als verantwoordelijke voor de verwerking van deze gegevensbank zoals bedoeld in artikel 1, § 4 van de Wet tot bescherming van persoonsgegevens. Hij zal bijgevolg in het door de wet bepaalde kader verantwoordelijk zijn voor het opstellen en de opvolging van de strategische plannen voor de verwerking van de gegevens en zal de nodige middelen bepalen om zijn strategische doelstellingen te bereiken » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, p. 24).

B.59.1. Door een passagiersgegevensbank op te richten, waarvan het beheer is toevertrouwd aan de PIE, voorziet de wet van 25 december 2016 in een centralisatie van de opslag van de passagiersgegevens, onder de verantwoordelijkheid van de PIE, en voorziet daarbij in talrijke waarborgen op het vlak van de beveiliging, de toegang en de bewaring van die gegevens, waarbij de verwerkingen van de gegevens die de PIE in het kader van de in artikel 8, § 1, beoogde doelstellingen kan uitvoeren, worden beperkt. Door de plaats van registratie van die gegevens nauwkeurig te identificeren, laat de oprichting van een dergelijke gegevensbank aldus toe de gegevensstromen te beperken.

Hoewel de « PNR-richtlijn » daarin niet uitdrukkelijk voorziet, vormt de oprichting van een passagiersgegevensbank, zoals die gepaard gaat met de in B.58 in herinnering gebrachte waarborgen, een centraal element van het systeem dat is ingevoerd door de « PNR-richtlijn », die door de wet van 25 december 2016 wordt omgezet.

B.59.2. Gelet op hetgeen voorafgaat en op de verschillende waarborgen, opgesomd in B.58, die de oprichting en het beheer van de passagiersgegevensbank omgeven, is die maatregel niet onevenredig. b) De verwerking van de passagiersgegevens in het kader van de voorafgaande beoordeling van de passagiers (artikelen 24 tot 26) B.60.1. Artikel 16 van de wet van 25 december 2016 bepaalt dat, in het kader van de doelstellingen beoogd in artikel 8, § 1, de passagiersgegevens het voorwerp uitmaken van de verwerkingen bedoeld in de artikelen 24 tot 27.

De artikelen 24 tot 26 betreffen de verwerking van de passagiersgegevens in het kader van de voorafgaande beoordeling van de passagiers.

B.60.2. Overeenkomstig artikel 24, § 1, van de wet van 25 december 2016 worden de passagiersgegevens verwerkt met het oog op het uitvoeren van een voorafgaande beoordeling van de passagiers vóór hun geplande aankomst in, vertrek uit of doorreis over het nationaal grondgebied om te bepalen welke personen moeten worden onderworpen aan een nader onderzoek (artikel 24, § 1).

In de parlementaire voorbereiding van de wet van 25 december 2016 wordt uitgelegd : « Artikel 24 betreft de voorafgaande beoordeling (prescreening) van het risico dat de passagiers vormen. Het is de bedoeling de potentiële dreiging te beoordelen en te bepalen welke passagiers belangrijk zijn voor de uitoefening van hun opdrachten of bijvoorbeeld een te nemen maatregel vereisen (uitvoering van een aanhoudingsmandaat, fouillering,...).

Deze voorafgaande beoordeling wordt toegepast vóór de aankomst, de doorreis of het vertrek op het nationaal grondgebied » (ibid., p. 28).

B.60.3.1. De voorafgaande beoordeling steunt op twee krachtlijnen : enerzijds de correlatie van de passagiersgegevens met de gegevensbanken en, anderzijds, de correlatie van de gegevens met vooraf bepaalde criteria.

Die beoordeling berust op een positieve overeenstemming, die voortvloeit uit een correlatie van de passagiersgegevens met : - de gegevensbanken die door de bevoegde diensten worden beheerd en door de PIE vooraf bepaalde beoordelingscriteria, in het kader van de doelstellingen beoogd in artikel 8, § 1er, 1°, 2°, 4° et 5°, of met betrekking tot de bedreigingen vermeld in de artikelen 8, 1°, a), b), c), d), f), g), en 11, § 2, van de wet van 30 november 1998 (artikel 24, § 2, zoals vervangen bij de wet van 15 juli 2018); voor die doelstellingen zijn alle in artikel 9 bedoelde passagiersgegevens toegankelijk (artikel 26, § 2, zoals vervangen bij de wet van 15 juli 2018); - de gegevensbanken die door de bevoegde diensten worden beheerd, in het kader van de doelstellingen beoogd in artikel 8, § 1, 3° (artikel 24, § 3). Voor dat doel zijn alleen de passagiersgegevens bedoeld in artikel 9, § 1, 18°, met betrekking tot de persoon of personen voor wie een positieve overeenstemming werd gegenereerd, toegankelijk (artikel 26, § 1).

De positieve overeenstemming wordt gevalideerd door de PIE binnen vierentwintig uur na ontvangst van het geautomatiseerd bericht van de positieve overeenstemming (artikel 24, § 4). Vanaf het moment van die validatie geeft de bevoegde dienst die aan de basis ligt van de positieve overeenstemming een nuttig gevolg binnen de kortst mogelijke termijn (artikel 24, § 5).

Tot slot is artikel 24, § 2, van de wet van 25 december 2016, krachtens artikel 5 van de wet van 2 mei 2019, aangevuld met een nieuw lid. Die wijziging « beoogt in artikel 24, § 2, te voorzien dat de voorafgaande beoordeling van passagiers ook berust op een analyse van andere passagiersgegevens die verband houden met een positieve overeenstemming » (Parl. St., Kamer, 2018-2019, DOC 54-3652/001, p. 5) B.60.3.2. Ten aanzien van de correlatie met de gegevensbanken wordt in de parlementaire voorbereiding van de wet van 25 december 2016 uiteengezet : « De eerste factor bestaat uit het zoeken naar positieve overeenstemmingen door middel van verbanden van passagiersgegevens met de gegevens verwerkt in de gegevensbanken die door de bevoegde diensten worden beheerd. Dit maakt het bijvoorbeeld mogelijk om te beoordelen of een persoon een hoge gevaarlijkheidsgraad heeft, omdat hij is bekend in een politionele gegevensbank in het kader van een terroristisch dossier en waarvoor uit de analyse van zijn passagiersgegevens blijkt dat hij zich regelmatig naar landen begeeft die trainingskampen voor terroristen hebben of naar landen om door te reizen naar dergelijke plaatsen. Het kan bijvoorbeeld ook gaan om een persoon over wie beschikbare inlichtingen bij de inlichtingendiensten aangeven dat hij een gijzeling zou voorbereiden en dat hij zich, op basis van de vervoersgegevens, naar een land begeeft waarvan de inlichtingendiensten, op basis van de ontvangen inlichtingen, weten dat deze persoon er zou kunnen rekruteren om zijn plannen tot uitvoering te brengen. Hoe meer positieve overeenstemmingen bovendien ontdekt worden door verschillende diensten voor één en dezelfde persoon, hoe waarschijnlijker de reële dreiging.

De positieve overeenstemming kan eveneens het nemen van een maatregel vergen op bevel van de gerechtelijke overheden, zoals het uitvoeren van een aanhoudingsbevel ten aanzien van een persoon die klaar staat om België te verlaten.

De positieve overeenstemming kan eveneens blijken uit een verband met internationale gegevensbanken, zoals SIS II, Interpol (SLTD).

Het is natuurlijk niet de bedoeling om alle gegevensbanken van de diensten te linken met de passagiersgegevensbank, maar wel om de correlaties met de gegevensbanken die rechtstreeks verband houden met de door de wet bepaalde doelen, technisch te beperken. [...] Deze correlatie zal eveneens moeten worden gemaakt via lijsten van personen die specifiek zijn opgesteld door de bevoegde diensten voor dit doel. Overeenkomstig de wet tot bescherming van de persoonlijke levenssfeer en meer in het bijzonder artikel 4, § 1, 4°, zullen deze lijsten regelmatig moeten worden bijgewerkt » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, pp. 28-29).

Ten aanzien van de correlatie met de vooraf bepaalde criteria wordt in de parlementaire voorbereiding van de wet van 25 december 2016 uiteengezet : « De tweede factor bestaat uit het zoeken naar positieve overeenstemmingen via (één of meerdere) door de PIE vooraf bepaalde criteria die worden toegepast op de passagiersgegevens. Deze criteria bestaan uit één of meerdere objectieve indicatoren waaruit kan worden afgeleid dat de personen die er het voorwerp van uitmaken, een specifiek risicogedrag vertonen, dat een dreiging kan vormen in het licht van de doelen in artikel 8, § 1, punten 1, 4 en 5, van de wet.

In deze criteria kunnen bijvoorbeeld bepaalde specifieke reserverings- of reisgedragingen worden opgenomen.

Het gebruik van deze criteria biedt het voordeel dat risicovolle passagiersprofielen tevoorschijn kunnen treden, die niet noodzakelijkerwijze zijn gekend of opgenomen in de gegevensbanken van de diensten Deze criteria kunnen bijvoorbeeld betrekking hebben op een bepaald land van bestemming of vertrek, in combinatie met bepaalde reisgegevens, zoals de betaalmethode en de datum van reservering » (ibid., pp. 29-30). « De voorafgaande beoordeling in het kader van het doel met betrekking tot het toezien op fenomenen van bestuurlijke politie en groeperingen die verbonden zijn met gewelddadige radicalisering, is aan veel strengere voorwaarden onderworpen dan de andere doelen : - ze kan zich enkel baseren op een correlatie met de gegevensbanken van de politiediensten; - Enkel de gegevens bedoeld in artikel 9, § 1, 18° van de wet zijn toegankelijk.

Voor de voorafgaande beoordeling in het kader van de andere doelen is de toegang tot alle in artikel 9 opgesomde passagiersgegevens toegelaten » (ibid., p. 31). « De positieve overeenstemming moet in elk geval worden gevalideerd door de PIE Immers, om de volstrekte naleving van het recht op de bescherming van persoonsgegevens, en meer bepaald van artikel 12bis van de privacywet en het recht op non-discriminatie, te waarborgen, mag geen enkele beslissing met juridische gevolgen worden genomen voor een persoon of die deze persoon ernstig nadeel kan berokkenen, op de loutere basis van de geautomatiseerde verwerking van de gegevens van het bestand met informatie over zijn reis. Daarom moet de menselijke beoordeling steeds voorafgaan aan elke bindende beslissing voor de betrokken persoon.

Deze validatie moet gebeuren binnen de 24 uur teneinde het recht op toegang tot de passagiersgegevensbank te openen. § 5. Na deze validatie van de positieve overeenstemming komt het aan de diensten die aan de basis liggen van de positieve overeenstemming toe om een nuttige actie te nemen binnen een passende termijn. Een nuttige actie kan een actieve interventie (fouille, arrestatie,...) betekenen, maar kan evengoed een beslissing zijn om voorlopig geen actieve interventie te ondernemen. Deze operationele beoordeling komt volledig aan de bevoegde diensten toe » (ibid., pp. 30-31).

B.60.4.1. In verband met de door de PIE vooraf bepaalde beoordelingscriteria voorziet artikel 25 van de wet van 25 december 2016 erin dat die criteria niet gebaseerd mogen zijn op gegevens die de raciale of etnische oorsprong van een persoon, zijn religieuze of levensbeschouwelijke overtuigingen, zijn politieke opvattingen, zijn vakbondslidmaatschap, zijn gezondheidstoestand, zijn seksleven of zijn seksuele geaardheid onthullen (artikel 25, § 3).

De beoordeling van de passagiers vóór hun aankomst, doorreis of vertrek op grond van de vooraf bepaalde criteria wordt op niet-discriminerende wijze verricht. Die criteria mogen niet gericht zijn op de identificatie van een individu en moeten doelgericht, evenredig en specifiek zijn (artikel 25, § 2).

De passagiersgegevens kunnen door de PIE worden gebruikt voor het bijstellen van bestaande criteria of het formuleren van nieuwe criteria die bestemd zijn om zich te richten op individuen bij de voorafgaande beoordelingen van de passagiers (artikel 25, § 1).

B.60.4.2. In de parlementaire voorbereiding van de wet van 25 december 2016 wordt in dat verband uiteengezet : « Voor alle raadplegingsmodaliteiten geldt op technisch vlak een eenvormig verwerkingsprincipe: op basis van een correlatie met een operationeel risicoprofiel of databank worden ' hits ' gegenereerd ten aanzien van een uniek PNR-record. Deze hit is enkel zichtbaar voor de desbetreffende dienst. Elke hit moet manueel gevalideerd worden door het gedetacheerde lid van de desbetreffende bevoegde dienst om te worden omgezet in een ' match '. [...] Zodra een positieve overeenstemming is gevalideerd, wordt automatisch een encryptiecode gegenereerd, die zal worden gekruist met de codes van alle bevoegde diensten. Indien twee codes overeenkomen, worden twee of meerdere betrokken diensten op de hoogte gebracht dat er gedeelde positieve overeenstemmingen bestaan voor deze unieke PNR-record. Deze diensten dienen dan een nuttig gevolg te geven binnen een gepaste termijn » (ibid., p. 23; zie eveneens Parl. St., Kamer, 2015-2016, DOC 54-2069/003, p. 7). « Artikel 25 bepaalt de derde wijze voor de verwerking van de gegevens : de PIE verwerkt de passagiersgegevens om de bestaande criteria bij te werken of om nieuwe criteria te bepalen, die gebruikt moeten worden tijdens de voorafgaande beoordelingen van de passagiers, teneinde de beoordeling te objectiveren en bijgevolg een strikte selectie van enkel de risicopassagiers uit te voeren.

Aangezien de verwerking van de passagiersgegevens een inmenging in hun privéleven inhoudt, zal de garantie op een objectivering van de vooraf bepaalde criteria het eveneens mogelijk maken om het toereikende, ter zake dienende en niet bovenmatige karakter van de inmenging in het privéleven te waarborgen.

De vooraf bepaalde criteria moeten doelgericht, evenredig en specifiek zijn. Bovendien mogen criteria niet gericht zijn op de identificatie van één individu. Daarom wordt gesteld dat deze niet nominatief zijn.

Ze mogen onder geen beding gebaseerd zijn op gegevens die het ras, de etnische afstamming, de religieuze, levensbeschouwelijke of politieke overtuiging, het vakbondslidmaatschap, de gezondheid, het seksleven of de seksuele geaardheid van de betrokkene onthullen » (ibid., p. 31).

B.60.4.3. In verband met de vooraf bepaalde beoordelingscriteria vereist artikel 6, lid 4, van de « PNR-richtlijn » dat die vooraf bepaalde criteria « doelgericht, evenredig en specifiek » zijn en dat de lidstaten ervoor zorgen dat die criteria « door de PIE worden vastgesteld en regelmatig worden getoetst ».

B.61.1. Het systeem van voorafgaande beoordeling impliceert de kruising van de « PNR-gegevens » van alle passagiers met gegevensbanken of vooraf bepaalde criteria, teneinde overeenstemmingen vast te stellen.

In haar advies van 19 augustus 2016 « over de gevolgen inzake de bescherming van gegevens van de verwerking van passagiersgegevens » heeft de Adviescommissie inzake het Verdrag nr. 108 van de Raad van Europa « tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens » in dat verband opgemerkt : « De verwerking van persoonsgegevens kan betrekking hebben op alle passagiers en niet alleen op individuele personen die ervan worden verdacht betrokken te zijn bij een strafbaar feit of een onmiddellijke dreiging te vormen voor de nationale veiligheid of de openbare orde.

De PNR-gegevens kunnen worden vergeleken (' data matching ') met gegevensbanken (namelijk gegevensbanken met betrekking tot personen die zijn veroordeeld wegens ernstige strafbare feiten, de personen ten aanzien van wie een onderzoek loopt wegens vermeende terroristische activiteiten, gestolen of verloren paspoorten) die door de bevoegde instanties worden bijgehouden overeenkomstig de wet teneinde de verdachten of de daders van misdrijven, alsook de personen die zijn verbonden met die verdachten of daders van mogelijke misdrijven te identificeren (' sociale grafiek ').

De PNR-gegevens kunnen ook worden verwerkt teneinde eender wie (door ' data mining ') te identificeren die betrokken ' zou kunnen ' zijn bij of ' zou kunnen ' deelnemen aan de criminele activiteiten die zijn gedefinieerd door de wet die de uitwisseling van de PNR-gegevens met de bevoegde instanties vaststelt, zoals bijvoorbeeld de individuen die reizen om buitenlandse terreurstrijders te worden. Een en ander zou kunnen worden verkregen door data mining op basis van voorspellende selectiecriteria of algoritmen.

De beoordeling van de passagiers door gegevens te vergelijken, kan de vraag van de voorzienbaarheid doen rijzen, in het bijzonder wanneer die gebeurt op basis van voorspellende algoritmen die gebruikmaken van dynamische criteria die voortdurend kunnen evolueren als gevolg van zelflerende capaciteiten.

De ontwikkeling van algoritmen voor data mining, zou moeten steunen op de resultaten van regelmatige beoordelingen van de mogelijke impact van de verwerking van gegevens op de fundamentele rechten en vrijheden van de betrokken personen.

De basisstructuur van de analyses zou gebaseerd moeten zijn op vooraf gedefinieerde risico-indicatoren die op voorhand duidelijk zijn vastgesteld.

De relevantie van de individuele resultaten van die automatische beoordelingen zou nauwgezet geval per geval moeten worden onderzocht door één persoon en op niet-geautomatiseerde wijze » (advies van 19 augustus 2016, T-PD(2016)18rev, p. 8).

B.61.2. Te dezen zijn de in artikel 24 bedoelde gegevensbanken zorgvuldig gedefinieerd en houden zij rechtstreeks verband met de in artikel 8 van de wet van 25 december 2016 beoogde doelstellingen. Het gaat immers om gegevensbanken van de « bevoegde diensten », namelijk de politiediensten, de Veiligheid van de Staat, de Algemene Inlichtingen- en Veiligheidsdienst en de Douane.

B.61.3. Bovendien waarborgt artikel 24, §§ 4 en 5, van de wet van 25 december 2016 dat de geautomatiseerde stelselmatige verwerking (in geval van een positieve overeenstemming) het voorwerp uitmaakt van een individuele controle met niet-geautomatiseerde middelen, teneinde te beoordelen of de bevoegde instantie maatregelen moet nemen overeenkomstig het nationale recht, zoals artikel 6, lid 5, van de « PNR-richtlijn » dat vereist.

In zijn advies 1/15 van 26 juli 2017 had het Hof van Justitie eveneens aangedrongen op de noodzaak van nog een individueel onderzoek met niet-geautomatiseerde middelen alvorens een individuele maatregel wordt genomen (HvJ, grote kamer, 26 juli 2017, advies 1/15, punt 173).

De vereiste van een menselijk optreden, na een positieve overeenstemming, vormt een waarborg die kan verzekeren dat de voorafgaande beoordeling niet uitsluitend berust op geautomatiseerde middelen en aldus bijdraagt tot de doeltreffendheid van het systeem.

Een stelselmatige voorafgaande beoordeling van de passagiers vormt bijgevolg, in principe, een maatregel die relevant is in het licht van het doel dat erin bestaat dreigingen voor de openbare veiligheid te identificeren en te voorkomen.

B.61.4. Zoals het Hof van Justitie heeft vastgesteld in zijn voormeld advies 1/15 van 26 juli 2017 kunnen de verwerkingen die voortvloeien uit de voorafgaande beoordeling « aanvullende informatie verschaffen over het privéleven van de luchtreizigers » (HvJ, grote kamer, 26 juli 2017, advies 1/15, punt 131; bovendien « worden deze analyses verricht zonder dat er op individuele omstandigheden gebaseerde redenen bestaan om aan te nemen dat de betrokkenen een risico voor de openbare veiligheid zouden kunnen vormen » (ibid., punt 132).

Het Hof van Justitie stelt vast dat de geautomatiseerde verwerking van de « PNR-gegevens », op basis van vooraf bepaalde modellen en criteria, evenwel een niet verwaarloosbare foutenmarge vertoont (ibid., punten 169-170), maar merkt op dat « de vooraf vastgestelde modellen en criteria dus ten eerste specifiek en betrouwbaar moeten zijn, zodat zij [...] tot resultaten leiden waarmee precies die personen worden geïdentificeerd op wie een redelijk vermoeden van deelneming aan terrorisme of zware grensoverschrijdende criminaliteit kan rusten, en [...] ten tweede niet [mogen] discrimineren », en dat « de databases waarmee de PNR-gegevens worden vergeleken, betrouwbaar en up-to-date moeten zijn en dat het enkel mag gaan om databases die Canada gebruikt met het oog op de strijd tegen terrorisme en zware grensoverschrijdende criminaliteit » (ibid., punt 172). Ten slotte heeft het Hof van Justitie, teneinde te waarborgen dat die beoordeling geen discriminerend karakter vertoont en tot het strikt noodzakelijke is beperkt, opgemerkt dat « in het kader van de in [...] de voorgenomen overeenkomst bedoelde toetsing van de uitvoering van deze overeenkomst », één jaar na de inwerkingtreding ervan en vervolgens op gezette tijden moet « worden onderzocht - rekening houdend met de statistische gegevens en de resultaten van het internationaal onderzoek - of deze vooraf vastgestelde modellen en criteria en de gebruikte databases betrouwbaar en up-to-date zijn » (ibid., punt 174).

B.61.5. Voor het overige lijkt het technisch onmogelijk om de vooraf bepaalde criteria die zullen dienen om risicoprofielen vast te stellen, nader te definiëren. Zoals is vermeld in B.61.4, dienen die criteria specifiek, betrouwbaar en niet discriminerend te zijn.

Hoewel noch de « PNR-richtlijn », noch de wet van 25 december 2016 aanwijzingen bevatten omtrent de manier waarop de criteria die ten grondslag liggen aan de voorafgaande beoordeling, vooraf worden vastgesteld door de PIE, blijken de waarborgen die gepaard gaan met de totstandkoming van die criteria, waaraan in B.60.4 is herinnerd, te volstaan om de bestreden maatregel niet onevenredig te bevinden.

B.61.6. Teneinde te beslissen of die stelselmatige voorafgaande beoordeling voldoende duidelijk, nauwkeurig alsook beperkt is tot het strikt noodzakelijke, dient echter aan het Hof van Justitie van de Europese Unie de zesde prejudiciële vraag te worden gesteld die in het dictum is weergegeven. c) De gerichte opzoekingen (artikelen 27, 50 en 51) B.62.1. Artikel 27 van de wet van 25 december 2016, in de oorspronkelijke versie ervan, laat de verwerking van de persoonsgegevens toe om gerichte opzoekingen te verrichten voor de doelstellingen beoogd in artikel 8, § 1, 1°, 2°, 4° en 5°, en onder de voorwaarden bepaald in artikel 46septies van het Wetboek van strafvordering of in artikel 16/3 van de wet van 30 november 1998, respectievelijk ingevoegd bij de artikelen 50 en 51 van de wet van 25 december 2016.

Overeenkomstig artikel 20 van de wet van 25 december 2016 gelden de toepassingsvoorwaarden van artikel 27, in de oorspronkelijke versie ervan, eveneens voor de verzoeken om toegang, na de termijn van zes maanden bepaald in artikel 19.

B.62.2. Zoals ingevoegd bij artikel 50 van de wet van 25 december 2016, bepaalt artikel 46septies van het Wetboek van strafvordering : « Bij het opsporen van de misdaden en wanbedrijven bedoeld in artikel 8, § 1, 1°, 2° en 5°, van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens, kan de procureur des Konings, bij een schriftelijke en met redenen omklede beslissing, de officier van gerechtelijke politie opdragen om de PIE te vorderen tot het meedelen van de passagiersgegevens overeenkomstig artikel 27 van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens.

De motivering weerspiegelt de proportionaliteit met inachtneming van de persoonlijke levenssfeer en de subsidiariteit ten opzichte van elke andere onderzoeksdaad.

De maatregel kan betrekking hebben op een geheel van gegevens die betrekking hebben op een specifiek onderzoek. In dit geval preciseert de procureur des Konings de duur van de maatregel die niet langer kan zijn dan een maand, te rekenen vanaf de beslissing, onverminderd hernieuwing.

In geval van uiterst dringende noodzakelijkheid kan iedere officier van gerechtelijke politie, na mondelinge en voorafgaande instemming van de procureur des Konings, en bij een gemotiveerde en schriftelijke beslissing, de leidend ambtenaar van de PIE vorderen tot het meedelen van de passagiersgegevens. De officier van de gerechtelijke politie deelt deze gemotiveerde en schriftelijke beslissing en de verkregen informatie binnen vierentwintig uur mee aan de procureur des Konings en motiveert tevens de uiterst dringende noodzakelijkheid ».

Die bepaling heeft dus betrekking op de gerichte opzoekingen in het kader van het doel beoogd in artikel 8, § 1, 1°, 2° en 5°, van de wet van 25 december 2016. Die maatregel wordt omgeven met verschillende waarborgen, waaronder de voorafgaande toestemming van de procureur des Konings.

B.62.3. Zoals ingevoegd bij artikel 51 van de wet van 25 december 2016 bepaalt artikel 16/3 van de wet van 30 november 1998 : « § 1. De inlichtingen- en veiligheidsdiensten kunnen, in het belang van de uitoefening van hun opdrachten, mits afdoende motivering, beslissen om toegang te hebben tot de passagiersgegevens bedoeld in artikel 27 van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens. § 2. De in § 1 bedoelde beslissing, wordt door een diensthoofd genomen en schriftelijk overgemaakt aan de Passagiersinformatie-eenheid bedoeld in hoofdstuk 7 van voormelde wet. De beslissing wordt met de motivering van deze beslissing aan het Vast Comité I betekend.

Het Vast Comité I verbiedt de inlichtingen- en veiligheidsdiensten om gebruik te maken van de gegevens die verzameld werden in omstandigheden die niet aan de wettelijke voorwaarden voldoen.

De beslissing kan betrekking hebben op een geheel van gegevens die betrekking hebben op een specifiek inlichtingenonderzoek. In dit geval wordt de lijst van de raadplegingen van de passagiersgegevens een keer per maand aan het Vast Comité I doorgegeven ».

Die bepaling betreft dus de gerichte opzoekingen in het kader van het doel beoogd in artikel 8, § 1, 4°, van de wet van 25 december 2016.

Die maatregel wordt omgeven met verschillende waarborgen, waaronder het inlichten van en de controle door het Vast Comité I. B.62.4. Ten aanzien van de gerichte opzoekingen wordt in de parlementaire voorbereiding van de wet van 25 december 2016 uiteengezet : « Artikel 27 bepaalt de verwerkingswijze die er voor de PIE in bestaat geval per geval te reageren op de afdoende gemotiveerde aanvragen van bevoegde overheden tot het verkrijgen van passagiersgegevens en de verwerking ervan in specifieke gevallen. Deze verwerkingswijze is beperkt tot vier doelen en sluit die uit die gepaard gaat met het toezien op fenomenen van bestuurlijke politie en de leden van een groepering zoals bedoeld in artikel 8, § 1, punt 3.

Volgens de diensten houdt de hypothese in dat een onderzoeks- of inlichtingendossier wordt geopend naar aanleiding van een positieve voorafgaande beoordeling of op basis van andere concrete elementen los van de passagiersgegevens.

Op politioneel vlak wordt bijvoorbeeld een strafonderzoek ingesteld naar aanleiding van een positieve fouillering van een passagier die in het bezit was van verdovende middelen, zoals bleek uit een voorafgaande beoordeling of naar aanleiding van een voertuig- of persoonscontrole op de openbare weg. In beide gevallen kan het noodzakelijk blijken om de passagiersgegevens ' met terugwerkende kracht ' te raadplegen voor de noden van het onderzoek teneinde de eventuele verplaatsingen van de verdachte na te gaan.

Het raadplegen van de passagiersgegevensbank gebeurt hier eigenlijk niet meer op basis van de vooraf bepaalde criteria of op basis van een automatische correlatie, maar op basis van opzoekingen met behulp van elementen afkomstig uit het dossier. Bijvoorbeeld een naam, het paspoortnummer van de verdachte, gsm-nummer, bestemming,...

In dat kader is het nog belangrijker om te kunnen terugvallen op een historiek van de passagiersgegevens, rekening houdend met de duur en de complexiteit van bepaalde onderzoeken, en het feit dat er inbreuken veel later na de verplaatsingen worden ontdekt. Daarom moeten de gegevens over een periode van 5 jaar toegankelijk zijn om bewijzen te vergaren, eventuele mededaders of kompanen te vinden en criminele netwerken te ontmantelen.

Bijvoorbeeld : naar aanleiding van nieuwe elementen in een terrorismeonderzoek vindt de behandelende magistraat dat hij bepaalde reisgegevens van geïdentificeerde verdachten moet raadplegen.

De toelating van de procureur des Konings is op elk moment noodzakelijk om toegang te krijgen tot alle informatie, met inbegrip van de afgeschermde informatie voor wat betreft de finaliteiten van artikel 8 § 1, 1°, 2° en 5°. Voor wat betreft de finaliteit van artikel 8 § 1, 4° is de toelating van het diensthoofd vereist zoals omschreven in artikel 51 » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, pp. 32-33). « De artikelen 50 en 51 betreffen de bepalingen tot wijziging van het Wetboek van Strafvordering en de organieke wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst met betrekking tot de nadere regels voor toegang tot de passagiersgegevens in het kader van de a posteriori analyse » (ibid., p. 43).

B.63.1. De verzoekende partij is van mening dat de uit de politiediensten gedetacheerde leden die deel uitmaken van de PIE onvoldoende onafhankelijk zijn om de verzoeken om toegang in het kader van die gerichte opzoekingen te beantwoorden.

B.63.2. Krachtens artikel 14, § 1, van de wet van 25 december 2016 is de PIE samengesteld uit een leidend ambtenaar, bijgestaan door een ondersteunende dienst (artikel 14, § 1, 1°), alsook uit leden die zijn gedetacheerd uit de politiediensten, de Veiligheid van de Staat, de Algemene Inlichtingen- en Veiligheidsdienst, en de onderzoeksdiensten, opsporingsdiensten en diensten belast met het toezicht, de controle en vaststelling van de Algemene Administratie van de Douane en Accijnzen (artikel 14, § 1, 2°, zoals gewijzigd bij de wet van 15 juli 2018).

Ten aanzien van de samenstelling van de PIE wordt in de parlementaire voorbereiding uiteengezet : « Het Belgisch model is gebaseerd op een concept van multidisciplinaire eenheid, samengesteld uit een leidend ambtenaar die een leidinggevende functie vervult, alsook uit administratieve leden en gedetacheerde leden afkomstig uit de bevoegde diensten.

De PIE is samengesteld uit : - een leidend ambtenaar, bijgestaan door een ondersteuningsdienst, die binnen de FOD Binnenlandse Zaken verantwoordelijk zal zijn voor het beheer van de gegevensbank, het naleven van de verplichtingen van de vervoerders en reisoperatoren, de rapportering, het afsluiten van protocollen met de bevoegde diensten en het naleven van de verwerkingsvoorwaarden. De ondersteunende dienst zal met name worden samengesteld uit analisten, juristen, ICT-experten, een functionaris voor de gegevensbescherming en administratieve ondersteuning. - gedetacheerde leden die afkomstig zijn uit de bevoegde diensten die limitatief zijn opgesomd in punt 2 van § 1, namelijk de politiediensten, de inlichtingendiensten en de Douane. De precieze doelen vormen op zich de eerste beperking. Op het niveau van de diensten van de geïntegreerde politie spreekt het bijvoorbeeld voor zich dat een wijkagent bij de lokale politie nooit kennis zal kunnen nemen van de passagiersgegevens, aangezien de doelen niet tot zijn opdrachten behoren.

De detachering van de bevoegde diensten heeft tot doel enige graad van expertise te garanderen, maar sluit geenszins uit dat er tussen de bevoegde diensten akkoorden worden gesloten met het oog op de onderlinge afstemming van de detacheringen » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, p. 22).

De minister van Veiligheid en Binnenlandse Zaken heeft eveneens gepreciseerd : « In totaal zullen vijftien personen toegang hebben tot de gegevens.

De vier bevoegde diensten zullen elk twee personen detacheren die de zeven personeelsleden van de PIE vervoegen. Er zal ook een data protection officer toegevoegd worden die verslag uitbrengt aan de Commissie voor de bescherming van de persoonlijke levenssfeer » (Parl.

St., Kamer, 2015-2016, DOC 54-2069/003, p. 24).

B.63.3. Ter uitvoering van artikel 14, § 4, van de wet van 25 december 2016 regelt het koninklijk besluit van 21 december 2017 « ter uitvoering van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens, houdende diverse bepalingen betreffende de Passagiersinformatie-eenheid en de functionaris voor de gegevensbescherming » de voorwaarden inzake de samenstelling en de organisatie van de PIE. In het verslag aan de Koning dat aan dat koninklijk besluit voorafgaat, wordt gepreciseerd : « De gegevensbank kan dus enkel geraadpleegd worden binnen de PIE, uitsluitend door leden van de PIE in het kader van hun opdrachten, alsook door de functionaris voor de gegevensbescherming » (Belgisch Staatsblad van 29 december 2017, tweede editie, p. 116833).

De detacheringsprocedure is geregeld bij de artikelen 12 tot 21 van het voormelde koninklijk besluit van 21 december 2017.

B.63.4. Het feit dat de uit bevoegde diensten gedetacheerde leden deelnemen aan de werking van de PIE, strekt ertoe te waarborgen dat die PIE is samengesteld uit personen met een zekere expertise, teneinde aldus de doeltreffendheid van de PIE te versterken.

Artikel 4, lid 3, van de « PNR-richtlijn » voorziet overigens uitdrukkelijk in die detacheringsmogelijkheid. Die bepaling luidt : « Het personeel van een PIE kan uit bevoegde instanties worden gedetacheerd [...] ».

Niets laat toe ervan uit te gaan dat die personen, ook al behouden zij hun statuut in hun oorspronkelijke dienst, hun functies binnen de PIE niet onafhankelijk uitoefenen. Artikel 14, § 1, tweede lid, van de wet van 25 december 2016 preciseert trouwens dat, gedurende de periode van hun detachering, « de leden van de bevoegde diensten [...] onder het functioneel en hiërarchisch toezicht [worden] geplaatst van de leidend ambtenaar van de PIE ».

De leden van de PIE kunnen bovendien strafrechtelijk worden gesanctioneerd wanneer zij het beroepsgeheim niet naleven of wanneer zij informatie, gegevens en inlichtingen willens en wetens achterhouden waardoor de in artikel 8 bepaalde doelen worden verhinderd (artikelen 48 en 49).

B.63.5. Ten aanzien van de toegang tot de « PNR-gegevens » in het kader van gerichte opzoekingen na een termijn van zes maanden heeft het Hof van Justitie, in zijn voormeld advies 1/15 van 26 juli 2017, geoordeeld dat het gebruik van de « PNR-gegevens » die aldus worden opgeslagen, zou moeten « worden gebaseerd op objectieve criteria ter bepaling van de omstandigheden waarin en de voorwaarden waarop de in de voorgenomen overeenkomst bedoelde Canadese autoriteiten toegang kunnen krijgen tot deze gegevens met het oog op het gebruik ervan » en dat « dit gebruik - behalve in naar behoren gerechtvaardigde dringende gevallen - [wordt] onderworpen aan een voorafgaande controle door hetzij een rechterlijke instantie, hetzij een onafhankelijke bestuurlijke entiteit, waarvan de beslissing houdende toelating van het gebruik wordt gegeven naar aanleiding van een gemotiveerd verzoek dat de voornoemde autoriteiten met name in het kader van een procedure ter voorkoming, opsporing of vervolging van strafbare feiten hebben ingediend » (punt 208).

Artikel 12, lid 3, van de « PNR-richtlijn » bepaalt in dat verband : « Wanneer de in lid 2 bedoelde termijn van zes maanden is verstreken, wordt mededeling van de volledige PNR-gegevens uitsluitend toegestaan als : a) er redelijkerwijze wordt aangenomen dat zulks noodzakelijk is voor de in artikel 6, lid 2, onder b), bedoelde doeleinden en b) goedgekeurd door : i) een gerechtelijke instantie, of ii) een andere nationale instantie die volgens het nationale recht bevoegd is om na te gaan of aan de voorwaarden voor mededeling is voldaan, onder voorbehoud van kennisgeving aan, en controle achteraf door, de functionaris voor gegevensbescherming van de PIE ». B.63.6. Teneinde na te gaan of de PIE kan worden beschouwd als die « andere [bevoegde] nationale instantie » in de zin van artikel 12, lid 3, van de « PNR-richtlijn », dient, vooraleer recht te doen, aan het Hof van Justitie de zevende prejudiciële vraag te worden gesteld die in het dictum is weergegeven. 7. De bewaartermijn van de « PNR-gegevens » (artikel 18) B.64. De verzoekende partij bekritiseert artikel 18 van de wet van 25 december 2016 in zoverre de termijn van vijf jaar gedurende welke de « PNR-gegevens » worden bewaard, onevenredig zou zijn.

B.65.1. Artikel 12 van de « PNR-richtlijn », met als opschrift « Bewaartermijn van de gegevens en anonimisering », bepaalt : « 1. De lidstaten zorgen ervoor dat de door de luchtvaartmaatschappijen aan de PIE verstrekte PNR-gegevens bij die PIE in een databank worden bewaard gedurende een termijn van vijf jaar nadat de gegevens zijn doorgegeven aan de PIE van de lidstaat waar de vlucht aankomt of vertrekt. 2. Wanneer een termijn van zes maanden is verstreken nadat de PNR-gegevens overeenkomstig lid 1 zijn doorgegeven, worden de PNR-gegevens gedepersonaliseerd door afscherming van de volgende gegevenselementen waaruit de identiteit van de passagier op wie de PNR-gegevens betrekking hebben, rechtstreeks zou kunnen worden afgeleid : a) naam/namen, waaronder de namen van andere passagiers in het PNR en het aantal reizigers in het PNR dat samen reist;b) adres en contactgegevens;c) alle betalingsinformatie, met inbegrip van het factuuradres, voor zover daarin informatie is vervat waaruit de identiteit van de passagier op wie het PNR betrekking heeft of van andere personen rechtstreeks zou kunnen worden afgeleid;d) informatie betreffende reizigers die gebruikmaken van een loyaliteitsprogramma voor frequent reizen;e) algemene opmerkingen, voor zover deze informatie bevatten waaruit rechtstreeks de identiteit zou kunnen worden afgeleid van de passagier op wie het PNR betrekking heeft;en f) verzamelde API-gegevens.3. Wanneer de in lid 2 bedoelde termijn van zes maanden is verstreken, wordt mededeling van de volledige PNR-gegevens uitsluitend toegestaan als : a) er redelijkerwijze wordt aangenomen dat zulks noodzakelijk is voor de in artikel 6, lid 2, onder b), bedoelde doeleinden en b) goedgekeurd door : i) een gerechtelijke instantie, of ii) een andere nationale instantie die volgens het nationale recht bevoegd is om na te gaan of aan de voorwaarden voor mededeling is voldaan, onder voorbehoud van kennisgeving aan, en controle achteraf door, de functionaris voor gegevensbescherming van de PIE.4. De lidstaten zorgen ervoor dat de PNR-gegevens na het verstrijken van de in lid 1 bedoelde termijn definitief worden gewist.Deze verplichting geldt niet indien bepaalde PNR-gegevens zijn doorgegeven aan een bevoegde instantie en worden gebruikt in het kader van een specifieke zaak met het oog op het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit; in dat geval beheerst het nationale recht het bewaren van de gegevens door de bevoegde instantie. 5. De PIE bewaart het resultaat van de in artikel 6, lid 2, onder a), bedoelde verwerking niet langer dan noodzakelijk is om een overeenstemming te kunnen melden aan de bevoegde instanties en, overeenkomstig artikel 9, lid 1, aan de PIE's van andere lidstaten. Indien het resultaat van geautomatiseerde verwerking na een afzonderlijke niet-geautomatiseerde controle als bedoeld in artikel 6, lid 5, negatief blijkt te zijn, kan dit niettemin worden opgeslagen om ' valse ' overeenkomsten in de toekomst te voorkomen, voor zover de onderliggende gegevens niet op grond van lid 4 van dit artikel worden gewist ».

Considerans 25 van de « PNR-richtlijn » bepaalt : « De bewaartermijn voor PNR-gegevens dient zo lang te zijn als noodzakelijk is voor en evenredig te zijn aan de doelstellingen, namelijk het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit. Gezien de aard van de gegevens en het gebruik ervan dienen de PNR-gegevens lang genoeg te worden bewaard om er een analyse mee te kunnen uitvoeren en ze bij onderzoek te kunnen gebruiken. Ter voorkoming van onevenredig gebruik dienen de gegevens na de initiële bewaartermijn door afscherming van gegevenselementen te worden gedepersonaliseerd. Om te zorgen voor het hoogste niveau van gegevensbescherming, dient toegang tot de volledige PNR-gegevens, waarmee de betrokkene rechtstreeks kan worden geïdentificeerd, uitsluitend onder zeer strikte en restrictieve voorwaarden te worden toegestaan na die initiële bewaartermijn ».

B.65.2.1. Volgens de rechtspraak van het Hof van Justitie moet de bewaartermijn van de gegevens « steeds [...] beantwoorden aan objectieve criteria die een verband leggen tussen de te bewaren persoonsgegevens en het nagestreefde doel » (HvJ, 6 oktober 2015, C-362/14, Schrems, punt 93; grote kamer, 21 december 2016, C-203/15 en C-698/15, Tele2 Sverige en Watson e.a., punt 110; grote kamer, 26 juli 2017, advies 1/15, punt 191).

B.65.2.2. Ten aanzien van meer bepaald de « PNR-gegevens » is het Hof van Justitie, in zijn voormeld advies 1/15 van 26 juli 2017 ervan uitgegaan dat de duur van vijf jaar « niet verder gaat dan strikt noodzakelijk is met het oog op de bestrijding van terrorisme en zware grensoverschrijdende criminaliteit » (grote kamer, 26 juli 2017, advies 1/15, punt 209), onder het voorbehoud dat « wat luchtreizigers betreft voor wie bij hun aankomst in Canada op het ogenblik van het vertrek uit dat derde land niet is vastgesteld dat er een dergelijk risico bestaat, [...] er - zodra zij vertrokken zijn - tussen hun PNR-gegevens en de doelstelling van de voorgenomen overeenkomst dus geen verband - zelfs geen indirect verband - [lijkt] te bestaan dat [rechtvaardigt] [...] [dat] de PNR-gegevens van alle luchtreizigers na hun vertrek uit Canada duurzaam worden opgeslagen met het oog op een eventuele toegang tot deze gegevens, los van het bestaan van enig verband met de strijd tegen terrorisme en zware grensoverschrijdende criminaliteit (zie, naar analogie, arrest van 21 december 2016, Tele2 Sverige en Watson e.a., C-203/15 en C-698/15, EU: C: 2016: 970, punt 119) » (ibid., punt 205).

B.66.1. Artikel 18 van de wet van 25 december 2016 voorziet erin dat de passagiersgegevens in de passagiersgegevensbank bewaard worden gedurende een maximale termijn van vijf jaar, te rekenen vanaf de registratie ervan, en dat ze aan het einde van die termijn worden vernietigd.

Overeenkomstig artikel 21, § 1, van de wet van 25 december 2016 zorgt de PIE ervoor dat de passagiersgegevens definitief uit haar gegevensbank worden verwijderd na de periode bedoeld in artikel 18.

B.66.2. In de parlementaire voorbereiding van de wet van 25 december 2016 wordt uiteengezet : « Artikel 18 bepaalt de bewaartermijn voor de gegevens in de passagiersgegevensbank.

Overeenkomstig artikel 4, 4° van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, worden de persoonsgegevens bewaard onder een vorm die toelaat de betrokken personen te identificeren gedurende een termijn die niet langer is dan deze die noodzakelijk is om de doelstellingen waarvoor ze werden verzameld of waarvoor ze later worden verwerkt, te verwezenlijken.

Daarom worden de gegevens van het bestand met reisgegevens, zoals bedoeld in artikel 9, bewaard gedurende een maximale termijn van 5 jaar voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, alsook voor de bescherming van de fundamentele belangen van de staat, en vervolgens worden ze definitief gewist uit de Passagiersgegevensbank. Na afloop van deze termijn worden ze vernietigd.

Deze termijn van maximum 5 jaar moet het mogelijk maken om de noodzakelijke analyses en verificaties uit te voeren met het oog op het ontdekken van nieuwe fenomenen of het opsporen van nieuwe tendensen die verbonden zijn aan de doelen van de wet, om de bestaande risicoprofielen aan te passen of nieuwe risicoprofielen te bepalen, en om desgevallend bewijzen te verzamelen, eventuele mededaders of medeplichtigen te vinden en criminele netwerken te ontmantelen » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, pp. 25-26).

B.66.3.1. De bewaartermijn van vijf jaar waarin artikel 18 van de wet van 25 december 2016 voorziet, dient evenwel te worden gelezen in samenhang met de artikelen 19 en volgende van dezelfde wet, die ook de voorwaarden inzake de bewaring van de gegevens regelen.

B.66.3.2. Artikel 19 van de wet van 25 december 2016 bepaalt : « Na een periode van zes maanden vanaf het registreren van de passagiersgegevens in de passagiersgegevensbank, worden alle passagiersgegevens gedepersonaliseerd, door afscherming van de volgende gegevenselementen waaruit de identiteit van de passagier op wie de gegevens betrekking hebben, rechtstreeks zou kunnen worden afgeleid : 1° naam/namen, waaronder de namen van andere passagiers en het aantal passagiers dat samen reist;2° adres- en contactgegevens;3° alle betalingsinformatie, met inbegrip van het factureringsadres, voor zover daarin informatie is vervat waaruit de identiteit van de passagier of elke andere persoon rechtstreeks zou kunnen worden afgeleid;4° informatie betreffende reizigers die gebruikmaken van een loyaliteitsprogramma voor frequent reizen;5° algemene opmerkingen, voor zover deze informatie bevatten waaruit de identiteit van de passagier rechtstreeks zou kunnen worden afgeleid;en 6° alle gegevens bedoeld in artikel 9, § 1, 18° ». Die bepaling dient te worden gelezen in samenhang met artikel 4, 14°, van de wet van 25 december 2016, dat het « depersonaliseren door afscherming van gegevenselementen » definieert als « het voor een gebruiker onzichtbaar maken van de gegevenselementen waaruit de identiteit van de betrokken persoon rechtstreeks zou kunnen worden afgeleid, bedoeld in artikel 19 ».

B.66.3.3. Artikel 20 van de wet van 25 december 2016 bepaalt dat, na de periode van zes maanden bedoeld in artikel 19, de mededeling van alle passagiersgegevens uitsluitend wordt toegestaan voor de door artikel 27 voorgeschreven verwerking van de gegevens en enkel onder de daarin bepaalde voorwaarden.

Overigens, het resultaat van de verwerking bedoeld in artikel 24 wordt door de PIE enkel bewaard voor de tijd die noodzakelijk is om de bevoegde diensten te informeren en, overeenkomstig artikel 36, om de PIE's van de andere lidstaten van de Europese Unie te informeren over het bestaan van een positieve overeenstemming (artikel 21, § 3, eerste lid).

B.66.3.4. Artikel 22 van de wet van 25 december 2016 waarborgt dat de leidend ambtenaar en de functionaris voor de gegevensbescherming alleen toegang hebben tot alle gegevens die voor het uitvoeren van hun opdracht relevant zijn.

Ten slotte worden de verwerkte gegevens opgelijst en staan zij rechtstreeks in correlatie met de doelstellingen bepaald in artikel 8 (artikel 23, § 1). De PIE zorgt voor de oplijsting door een documentair spoor gedurende vijf jaar te bewaren voor alle behandelsystemen en -procedures onder haar verantwoordelijkheid (artikel 23, § 2, eerste lid).

B.66.4. Bij de vaststelling van de bewaartermijn van de passagiersgegevens dient rekening te worden gehouden met de doelstellingen van de verwerking van die gegevens, die rechtstreeks verband houden met de doelstellingen inzake preventie, opzoeking en vervolging van terroristische misdrijven en ernstige criminaliteit.

B.67.1. De Commissie voor de bescherming van de persoonlijke levenssfeer had evenwel vastgesteld dat, wanneer de bewaartermijn van de gegevens lang is en de gegevens massaal worden opgeslagen, « het risico op profilering van de betrokkenen [toeneemt], net als het risico op finaliteitsafwending (' function creep '), dit is de potentiële uitdeining van het gegevensgebruik naar andere misdrijven waarover initieel geen (politiek) akkoord tot gegevensuitwisseling bestond » (Commissie voor de bescherming van de persoonlijke levenssfeer, advies uit eigen beweging nr. 01/2010 van 13 januari 2010 « betreffende het wetsontwerp houdende instemming met de Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Ministerie van Binnenlandse veiligheid van de Verenigde Staten van Amerika (PNR-Overeenkomst 2007), gedaan te Brussel op 23 juli 2007 en te Washington op 26 juli 2007 », punt 3.3, p. 19).

In haar advies nr. 55/2015 van 16 december 2015 over het voorontwerp van wet dat de wet van 25 december 2016 is geworden, was de Commissie voor de bescherming van de persoonlijke levenssfeer eveneens van mening dat de noodzaak van de bewaartermijn van vijf jaar nauwkeuriger zou moeten worden gerechtvaardigd en gestaafd (punt 32).

In haar advies van 19 augustus 2016 « over de gevolgen inzake de bescherming van gegevens van de verwerking van passagiersgegevens » heeft de Adviescommissie inzake het Verdrag nr. 108 van de Raad van Europa « tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens » in dat verband eveneens opgemerkt dat « afgeschermde gegevens het nog mogelijk maken de personen te identificeren en in die zin persoonsgegevens » blijven, en dat de bewaring ervan ook zou moeten worden beperkt in de tijd om een veralgemeend permanent toezicht te voorkomen » (advies van 19 augustus 2016, T-PD(2016)18rev, p. 9).

B.67.2. Teneinde na te gaan of die bewaartermijn van vijf jaar, toegestaan door de « PNR-richtlijn », gelet op hetgeen voorafgaat en op de verschillende waarborgen, opgesomd in B.66, bestaanbaar is met de opmerkingen van het Hof van Justitie, vermeld in B.65.2.2, daar geen enkel onderscheid wordt gemaakt naargelang de betrokken passagiers in het kader van de voorafgaandelijke beoordeling al dan niet een risico kunnen vormen voor de openbare veiligheid, dient, vooraleer ten gronde uitspraak te doen, aan het Hof van Justitie van de Europese Unie de in het dictum weergegeven achtste prejudiciële vraag te worden gesteld.

Ten aanzien van het tweede middel B.68. Het tweede middel, in ondergeschikte orde geformuleerd, is afgeleid uit de schending van artikel 22 van de Grondwet, in samenhang gelezen met artikel 3, lid 2, van het Verdrag betreffende de Europese Unie en met artikel 45 van het Handvest van de grondrechten van de Europese Unie. Dat middel is gericht tegen artikel 3, § 1, artikel 8, § 2, en hoofdstuk 11, dat de artikelen 28 tot 31 bevat, van de wet van 25 december 2016.

De verzoekende partij is van mening dat de bestreden bepalingen, door het « PNR-systeem » uit te breiden tot de vluchten binnen de Europese Unie, indirect de grenscontroles herinvoeren die in strijd zouden zijn met de vrijheid van verkeer van de personen.

B.69.1. Artikel 3, § 1, van de wet van 25 december 2016 bepaalt : « Deze wet bepaalt de verplichtingen van de vervoerders en de reisoperatoren inzake de doorgifte van gegevens van passagiers van, naar en op doorreis over het nationaal grondgebied ».

De inhoud van de artikelen 8, § 2, en 28 tot 31 van de wet van 25 december 2016 wordt in herinnering gebracht in B.55.

B.69.2. Ten aanzien van het toepassingsgebied van de wet van 25 december 2016 wordt in de parlementaire voorbereiding uiteengezet : « De inclusie intra-EU in de verzameling van gegevens zal het mogelijk maken een vollediger beeld te krijgen van de verplaatsingen van passagiers die een potentiële bedreiging vormen voor de intracommunautaire en nationale veiligheid. De praktijk heeft reeds aangetoond dat bepaalde ' returnees ' (zogenaamde ' foreign fighters ' die terugkeren naar Europa) verscheidene vluchten nemen alvorens aan te komen op hun eindbestemming.

De EU PNR Richtlijn voorziet expliciet de mogelijkheid voor lidstaten om eveneens passagiersgegevens voor internationaal verkeer binnen de Europese Unie te verwerken. Bovendien verklaarden alle Europese lidstaten via een gemeenschappelijke verklaring goedgekeurd op de Raad 21 april 2016 van de ministers van Binnenlandse Zaken en Justitie om de EU PNR richtlijn in nationaal recht om te zetten eveneens voor het intra-EU-verkeer » (Parl. St., Kamer, 2015-2016, DOC 54-2069/001, p. 7).

B.69.3. Zoals in B.55 is vermeld, zijn de in hoofdstuk 11 van de wet van 25 december 2016 beoogde passagiers beperkt, net als de beoogde gegevens en de bewaartermijn.

In de parlementaire voorbereiding wordt uiteengezet : « Bijgevolg gaat het enkel om de passagiers die de buitengrenzen van België wensen te overschrijden of die overschreden hebben om België binnen te komen of België te verlaten, en dit ongeacht het type vervoer dat gebruikt wordt (maritiem vervoer, spoorvervoer, landvervoer, luchtvervoer). De politiediensten die belast zijn met de controle aan de grenzen en de Dienst Vreemdelingenzaken zullen dus enkel de gegevens van deze passagiers verwerken.

De passagiers die van plan zijn om via de internationale transitzone van bijvoorbeeld een in België gelegen luchthaven door te reizen, worden eveneens bedoeld, voor zover de regels betreffende de toegang tot het grondgebied, het verblijf, de vestiging en de verwijdering van vreemdelingen eveneens op hen van toepassing zijn. Zo moeten deze personen over de vereiste reisdocumenten beschikken. Sommige van deze personen moeten over een luchthaventransitvisum beschikken. In deze zones kunnen controles worden uitgevoerd en deze controles kunnen in bepaalde gevallen leiden tot een uitwijzingsmaatregel.

Zoals reeds vermeld, zullen krachtens dit hoofdstuk enkel de zogenaamde ' API '-passagiersgegevens doorgegeven worden aan de politiediensten en de Dienst Vreemdelingenzaken. Deze gegevens worden opgesomd in artikel 9, § 2, van het voorontwerp van wet.

Ze komen in hoofdzaak overeen met de gegevens die de luchtvervoerders reeds moeten doorgeven krachtens het koninklijk besluit van 11 december 2006. [...] Het gebruik van de gegevens is ook beperkt tot vierentwintig uren. Als in het kader van de uitoefening van zijn wettelijke opdrachten, de toegang tot de passagiersgegevens voor de Dienst Vreemdelingenzaken verder noodzakelijk is, richt hij hiertoe een gemotiveerde aanvraag tot de PIE » (ibid., pp. 34-35).

B.70.1. Zoals eerder is vermeld, staat considerans 10 van de « PNR-richtlijn » de uitbreiding van het « PNR-systeem » tot de vluchten binnen de EU toe. Artikel 2 van de « PNR-richtlijn » regelt de procedure om het toepassingsgebied uit te breiden.

Zoals in B.55.4 is vermeld, betreft het doel inzake de bestrijding van illegale immigratie en inzake de verbetering van de controle aan de grenzen alleen de categorieën van passagiers opgesomd in artikel 29, § 2, van de wet van 25 december 2016, en is het beperkt tot de « API-gegevens » bedoeld in artikel 9, § 1, 18°, van de wet van 25 december 2016. De verwerkingen die in het kader van dat doel worden uitgevoerd, zijn eveneens beperkt. De bestreden bepalingen passen in het kader van de omzetting van de « API-richtlijn », die eveneens de doelstellingen inzake de bestrijding van de illegale immigratie en de verbetering van de grenscontroles nastreeft.

B.70.2. In haar advies nr. 55/2015 van 16 december 2015 over het voorontwerp van wet dat de wet van 25 december 2016 is geworden, had de Commissie voor de bescherming van de persoonlijke levenssfeer evenwel vragen bij de verenigbaarheid, met het beginsel van het vrije verkeer van de personen, van het ingevoerde « PNR-systeem », dat « zowel de transporten naar en vanuit de Schengenruimte (extra-Schengen) als inkomend en uitgaand binnen de Schengenruimte (intra-Schengen) » beoogt, hetgeen « indirect [zou kunnen] neerkomen op een herinvoering van controles aan de binnengrenzen » (punten 21-25).

B.70.3. Teneinde na te gaan of die maatregelen bestaanbaar zijn met het vrije verkeer van personen, dient, vooraleer ten gronde uitspraak te doen, aan het Hof van Justitie van de Europese Unie de in het dictum weergegeven negende prejudiciële vraag te worden gesteld.

Om die redenen, het Hof alvorens ten gronde uitspraak te doen, stelt aan het Hof van Justitie van de Europese Unie de volgende prejudiciële vragen : 1. Dient artikel 23 van de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 « betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG » (Algemene verordening gegevens - AVG) », in samenhang gelezen met artikel 2, lid 2, d), van die verordening, in die zin te worden geïnterpreteerd dat het van toepassing is op een nationale wetgeving zoals de wet van 25 december 2016 « betreffende de verwerking van passagiersgegevens », die niet enkel de richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 « over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit » omzet, alsook de richtlijn 2004/82/EG van de Raad van 29 april 2004 « betreffende de verplichting voor vervoerders om passagiersgegevens door te geven » en de richtlijn 2010/65/EU van het Europees Parlement en de Raad van 20 oktober 2010 « betreffende meldingsformaliteiten voor schepen die aankomen in en/of vertrekken uit havens van de lidstaten en tot intrekking van Richtlijn 2002/6/EG » ? 2.Is bijlage I van de richtlijn (EU) 2016/681 bestaanbaar met de artikelen 7, 8 en 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, in die zin dat de erin opgesomde gegevens zeer ruim zijn - onder meer de gegevens die worden beoogd in punt 18 van bijlage I van de richtlijn (EU) 2016/681, die verder gaan dan de gegevens beoogd in artikel 3, lid 2, van de richtlijn 2004/82/EG - en doordat die gegevens, in hun geheel beschouwd, gevoelige gegevens zouden kunnen onthullen, en aldus de grenzen van het « strikt noodzakelijke » zou kunnen overschrijden ? 3. Zijn de punten 12 en 18 van bijlage I bij de richtlijn (EU) 2016/681 bestaanbaar met de artikelen 7, 8 en 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, in zoverre, rekening houdend met de bewoordingen « onder meer » en « met inbegrip van », de erin beoogde gegevens bij wijze van voorbeeld en niet exhaustief worden vermeld, zodat de vereiste van nauwkeurigheid en duidelijkheid van de regels die leiden tot een inmenging in het recht op eerbiediging van het privéleven en in het recht op bescherming van de persoonsgegevens niet in acht zou zijn genomen ? 4.Zijn artikel 3, punt 4, van de richtlijn 2016/681/EU en bijlage I bij dezelfde richtlijn bestaanbaar met de artikelen 7, 8 en 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, in zoverre het systeem van het algemeen verzamelen, doorgeven en verwerken van passagiersgegevens dat die bepalingen instellen, iedere persoon beoogt die het desbetreffende vervoersmiddel gebruikt, los van elk objectief element dat het mogelijk maakt ervan uit te gaan dat die persoon een risico voor de openbare veiligheid kan vormen ? 5. Dient artikel 6 van de richtlijn (EU) 2016/681, in samenhang gelezen met de artikelen 7, 8 en 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, aldus te worden uitgelegd dat het zich verzet tegen een nationale wetgeving zoals de bestreden wet, die, als doel van de « PNR-gegevensverwerking », het toezien op door de inlichtingen- en veiligheidsdiensten beoogde activiteiten aanvaardt, waarbij het dat doel aldus opneemt in het voorkomen, het opsporen, het onderzoeken en het vervolgen van terroristische misdrijven en ernstige criminaliteit ? 6.Is artikel 6 van de richtlijn (EU) 2016/681 bestaanbaar met de artikelen 7, 8 en 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, in zoverre de voorafgaande beoordeling die daarin wordt geregeld, door een correlatie met de gegevensbanken en de vooraf bepaalde criteria, stelselmatig en op algemene wijze van toepassing is op de passagiersgegevens, los van elk objectief element dat toelaat ervan uit te gaan dat die passagiers een risico kunnen vormen voor de openbare veiligheid ? 7. Kan het begrip « andere bevoegde nationale instantie » bepaald in artikel 12, lid 3, van de richtlijn (EU) 2016/681 zo worden geïnterpreteerd dat het de PIE beoogt die bij de wet van 25 december 2016 is opgericht en die derhalve de toegang tot de « PNR-gegevens », na een termijn van zes maanden, in het kader van de gerichte opzoekingen zou kunnen toestaan ? 8.Dient artikel 12 van de richtlijn (EU) 2016/681, in samenhang gelezen met de artikelen 7, 8 en 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, zo te worden geïnterpreteerd dat het zich verzet tegen een nationale wetgeving zoals de bestreden wet die voorziet in een algemene bewaartermijn van de gegevens van vijf jaar, zonder onderscheid of de betrokken passagiers, in het kader van de voorafgaande beoordeling, al dan niet een risico kunnen vormen voor de openbare veiligheid ? 9. a) Is de richtlijn 2004/82/EG bestaanbaar met artikel 3, lid 2, van het Verdrag betreffende de Europese Unie en met artikel 45 van het Handvest van de grondrechten van de Europese Unie, in zoverre de daarbij ingevoerde verplichtingen van toepassing zijn op de vluchten binnen de Europese Unie ? b) Dient de richtlijn 2004/82/EG, in samenhang gelezen met artikel 3, lid 2, van het Verdrag betreffende de Europese Unie en met artikel 45 van het Verdrag betreffende de grondrechten van de Europese Unie, zo te worden geïnterpreteerd dat zij zich verzet tegen een nationale wetgeving zoals de bestreden wet die, met het oog op de strijd tegen illegale immigratie en het verbeteren van de grenscontroles, een systeem toestaat voor de verzameling en verwerking van de passagiersgegevens « van, naar en op doorreis over het nationaal grondgebied », hetgeen indirect een herinvoering van de controles aan de binnengrenzen zou kunnen impliceren ? 10.Zou het Grondwettelijk Hof, indien het op grond van de antwoorden op de hiervoor weergegeven prejudiciële vragen, tot de conclusie zou komen dat de bestreden wet, die met name de richtlijn (EU) 2016/681 omzet, één of meer van de uit de in die vragen vermelde bepalingen voortvloeiende verplichtingen schendt, de gevolgen van de wet van 25 december 2016 « betreffende de verwerking van passagiersgegevens » tijdelijk kunnen handhaven teneinde rechtsonzekerheid te voorkomen en het mogelijk te maken dat de voorheen verzamelde en bewaarde gegevens alsnog kunnen worden gebruikt voor de door de wet beoogde doelstellingen ? Aldus gewezen in het Frans, het Nederlands en het Duits, overeenkomstig artikel 65 van de bijzondere wet van 6 januari 1989 op het Grondwettelijk Hof, op 17 oktober 2019.

De griffier, De voorzitter, F. Meersschaut F. Daoût

^