Help Print this page 

Document 32013R0603

Title and reference
Règlement (UE) n ° 603/2013 du Parlement européen et du Conseil du 26 juin 2013 relatif à la création d'Eurodac pour la comparaison des empreintes digitales aux fins de l'application efficace du règlement (UE) n ° 604/2013 établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale introduite dans l'un des États membres par un ressortissant de pays tiers ou un apatride et relatif aux demandes de comparaison avec les données d'Eurodac présentées par les autorités répressives des États membres et Europol à des fins répressives, et modifiant le règlement (UE) n ° 1077/2011 portant création d'une agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice
  • In force
OJ L 180, 29.6.2013, p. 1–30 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 19 Volume 015 P. 78 - 107

ELI: http://data.europa.eu/eli/reg/2013/603/oj
Languages, formats and link to OJ
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html BG html ES html CS html DA html DE html ET html EL html EN html FR html GA html HR html IT html LV html LT html HU html MT html NL html PL html PT html RO html SK html SL html FI html SV
PDF pdf BG pdf ES pdf CS pdf DA pdf DE pdf ET pdf EL pdf EN pdf FR pdf GA pdf HR pdf IT pdf LV pdf LT pdf HU pdf MT pdf NL pdf PL pdf PT pdf RO pdf SK pdf SL pdf FI pdf SV
Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal
 To see if this document has been published in an e-OJ with legal value, click on the icon above (For OJs published before 1st July 2013, only the paper version has legal value).
Multilingual display
Text

29.6.2013   

FR

Journal officiel de l'Union européenne

L 180/1


RÈGLEMENT (UE) N o 603/2013 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 26 juin 2013

relatif à la création d'Eurodac pour la comparaison des empreintes digitales aux fins de l'application efficace du règlement (UE) no 604/2013 établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale introduite dans l'un des États membres par un ressortissant de pays tiers ou un apatride et relatif aux demandes de comparaison avec les données d'Eurodac présentées par les autorités répressives des États membres et Europol à des fins répressives, et modifiant le règlement (UE) no 1077/2011 portant création d'une agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (refonte)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 78, paragraphe 2, point e), son article 87, paragraphe 2, point a), et son article 88, paragraphe 2, point a),

vu la proposition de la Commission européenne,

vu l'avis du Contrôleur européen de la protection des données (1),

statuant conformément à la procédure législative ordinaire (2),

considérant ce qui suit:

(1)

Le règlement (CE) no 2725/2000 du Conseil concernant la création du système "Eurodac" pour la comparaison des empreintes digitales aux fins de l'application efficace de la convention de Dublin (3), ainsi que le règlement (CE) no 407/2002 du Conseil du 28 février 2002 fixant certaines modalités d'application du règlement (CE) no 2725/2000 concernant la création du système "Eurodac" pour la comparaison des empreintes digitales aux fins de l'application efficace de la convention de Dublin (4) doivent faire l'objet de plusieurs modifications substantielles. Dans un souci de clarté, il convient de procéder à la refonte desdits règlements.

(2)

Une politique commune dans le domaine de l'asile, comprenant un régime d'asile européen commun, est un élément constitutif de l'objectif de l'Union européenne visant à mettre en place progressivement un espace de liberté, de sécurité et de justice ouvert à ceux qui, poussés par les circonstances, recherchent une protection internationale dans l'Union.

(3)

Le Conseil européen du 4 novembre 2004 a adopté le programme de La Haye, qui fixe les objectifs à mettre en œuvre dans le domaine de la liberté, de la sécurité et de la justice pendant la période 2005-2010. Le pacte européen sur l'immigration et l'asile approuvé par le Conseil européen des 15 et 16 octobre 2008 a appelé à achever la mise en place du régime d'asile européen commun, par la création d'une procédure unique prévoyant des garanties communes et un statut uniforme pour les réfugiés et les personnes pouvant bénéficier de la protection subsidiaire.

(4)

Il est nécessaire, aux fins de l'application du règlement (UE) no 604/2013 du Parlement européen et du Conseil du 26 juin 2013 établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale introduite dans l'un des États membres par un ressortissant de pays tiers ou un apatride (5) d'établir l'identité des demandeurs d'une protection internationale et des personnes interpellées à l'occasion du franchissement illégal d'une frontière extérieure de l'Union. Aux fins de l'application efficace du règlement (UE) no 604/2013, et en particulier de son article 18, paragraphe 1, points b) et d), il est également souhaitable que tout État membre puisse vérifier si un ressortissant de pays tiers ou un apatride se trouvant illégalement sur son territoire a demandé une protection internationale dans un autre État membre.

(5)

Les empreintes digitales constituent un élément important aux fins de l'établissement de l'identité exacte de ces personnes. Il est nécessaire de créer un système de comparaison de leurs données dactyloscopiques.

(6)

À cette fin, il est nécessaire de créer un système dénommé "Eurodac", composé d'un système central, qui gérera une base de données dactyloscopiques centrale et informatisée, ainsi que des moyens électroniques de transmission entre les États membres et le système central, ci-après dénommé "infrastructure de communication".

(7)

Le programme de La Haye a appelé à l'amélioration de l'accès aux fichiers de données existant au niveau de l'Union. En outre, le programme de Stockholm a demandé un mode de collecte de données bien ciblé et un développement de l'échange d'informations et de ses outils qui réponde aux besoins en matière répressive.

(8)

En matière de lutte contre les infractions terroristes et les autres infractions pénales graves, il est essentiel que les autorités répressives disposent des informations les plus complètes et les plus récentes pour pouvoir exécuter leurs tâches. Les informations contenues dans Eurodac sont nécessaires aux fins de la prévention ou de la détection d'infractions terroristes visées dans la décision-cadre 2002/475/JAI du Conseil du 13 juin 2002 relative à la lutte contre le terrorisme (6) ou d'autres infractions pénales graves visées dans la décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d'arrêt européen et aux procédures de remise entre États membres (7), ou aux fins des enquêtes en la matière. Par conséquent, les autorités désignées des États membres et de l'Office européen de police (Europol) devraient avoir accès aux données d'Eurodac à des fins de comparaison sous réserve des conditions énoncées dans le présent règlement.

(9)

Les pouvoirs conférés aux autorités répressives concernant l'accès à Eurodac devraient s'entendre sans préjudice du droit du demandeur d'une protection internationale de voir sa demande traitée en temps utile, conformément au droit pertinent. En outre, toute mesure de suivi après l'obtention d'un résultat positif dans Eurodac devrait également s'entendre sans préjudice de ce droit.

(10)

Dans sa communication au Conseil et au Parlement européen du 24 novembre 2005 sur le renforcement de l'efficacité et de l'interopérabilité des bases de données européennes dans le domaine de la justice et des affaires intérieures et sur la création de synergies entre ces bases, la Commission indiquait que les autorités chargées de la sécurité intérieure pourraient avoir accès à Eurodac dans des cas bien définis, lorsqu'il existe de bonnes raisons de croire que l'auteur d'une infraction terroriste ou d'une autre infraction pénale grave a demandé une protection internationale. Dans cette communication, la Commission précisait également qu'en vertu du principe de proportionnalité, Eurodac ne pouvait être interrogé à cette fin que si l'intérêt supérieur de la sécurité publique le commandait, c'est-à-dire si l'acte commis par le criminel ou le terroriste à identifier est si répréhensible qu'il justifie des recherches dans une base de données où sont enregistrées des personnes ayant un casier judiciaire vierge, et concluait que le seuil que devaient respecter les autorités chargées de la sécurité intérieure pour pouvoir interroger Eurodac devait donc toujours être sensiblement plus élevé que le seuil à respecter pour pouvoir interroger des bases de données criminelles.

(11)

En outre, dans le cadre de la coopération entre les autorités des États membres lors d'enquêtes sur des activités criminelles transfrontalières, Europol joue un rôle clé de soutien dans la prévention de la criminalité, ainsi que pour l'analyse et les enquêtes criminelles à l'échelle de l'Union. Dès lors, Europol devrait également avoir accès à Eurodac dans le cadre de sa mission et conformément à la décision 2009/371/JAI du Conseil du 6 avril 2009 portant création de l'Office européen de police (Europol) (8).

(12)

Les demandes d'Europol de comparaison avec les données d'Eurodac ne devraient être autorisées que dans des cas spécifiques et selon des conditions strictes.

(13)

Eurodac ayant été créé pour faciliter l'application de la convention de Dublin, l'accès à Eurodac aux fins de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves, et des enquêtes en la matière constitue un changement de la finalité initiale d'Eurodac, qui constitue une ingérence dans l'exercice du droit fondamental au respect de la vie privée des personnes dont les données à caractère personnel sont traitées dans Eurodac. Toute ingérence de ce type doit être conforme à la loi, qui doit être formulée avec une précision suffisante pour permettre à toute personne d'adapter son comportement et doit protéger les personnes contre tout traitement arbitraire et indiquer de façon suffisamment explicite le pouvoir d'appréciation conféré aux autorités compétentes et la manière dont ce pouvoir doit s'exercer. Toute ingérence doit être nécessaire dans une société démocratique pour protéger un intérêt légitime et proportionné et doit revêtir un caractère proportionné par rapport à l'objectif légitime qu'elle vise à atteindre.

(14)

Même si la finalité initiale de la création d'Eurodac ne nécessitait pas la possibilité de demander la comparaison de données sur la base d'une empreinte latente, c'est-à-dire d'une trace dactyloscopique pouvant être décelée sur le lieu d'un crime, avec les données d'Eurodac, cette possibilité est fondamentale dans le domaine de la coopération policière. La possibilité de comparer une empreinte latente avec les données dactyloscopiques qui sont conservées dans Eurodac, dans des cas où il existe des motifs raisonnables de croire que l'auteur de l'infraction ou la victime peuvent relever de l'une des catégories couvertes par le présent règlement, fournira aux autorités désignées des États membres un outil très précieux pour la prévention ou la détection des infractions terroristes ou d'autres infractions pénales graves, ainsi que pour les enquêtes en la matière, notamment lorsque les seules preuves disponibles sur le lieu d'un crime sont des empreintes latentes.

(15)

Le présent règlement fixe également les conditions dans lesquelles les demandes de comparaison de données dactyloscopiques avec les données d'Eurodac aux fins de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves, ou des enquêtes en la matière devraient être autorisées, ainsi que les garanties nécessaires pour assurer la protection du droit fondamental au respect de la vie privée des personnes dont les données à caractère personnel sont traitées dans Eurodac. La rigueur de ces conditions est le reflet du fait que la base de données Eurodac conserve les données dactyloscopiques de personnes qui sont présumées n'avoir commis aucune infraction terroriste ni aucune autre infraction pénale grave.

(16)

Pour garantir l'égalité de traitement de tous les demandeurs et bénéficiaires d'une protection internationale et pour assurer la cohérence avec l'actuel acquis de l'Union en matière d'asile, et notamment avec la directive 2011/95/UE du Parlement européen et du Conseil du 13 décembre 2011 concernant les normes relatives aux conditions que doivent remplir les ressortissants des pays tiers ou les apatrides pour pouvoir bénéficier d'une protection internationale, à un statut uniforme pour les réfugiés ou les personnes pouvant bénéficier de la protection subsidiaire, et au contenu de cette protection (9), ainsi qu'avec le règlement (UE) no 604/2013, il convient d'élargir le champ d'application du présent règlement afin d'y inclure les demandeurs de protection subsidiaire et les personnes pouvant bénéficier de la protection subsidiaire.

(17)

Il est également nécessaire d'exiger des États membres qu'ils relèvent et transmettent sans tarder les données dactyloscopiques de chaque demandeur d'une protection internationale et de chaque ressortissant de pays tiers ou apatride interpellé à l'occasion du franchissement irrégulier d'une frontière extérieure d'un État membre, dans la mesure où il a au moins 14 ans.

(18)

Il est nécessaire de fixer des règles précises pour la transmission de ces données dactyloscopiques au système central, l'enregistrement de ces données dactyloscopiques et d'autres données pertinentes dans le système central, leur conservation, leur comparaison avec d'autres données dactyloscopiques, la transmission des résultats de cette comparaison et le marquage et l'effacement des données enregistrées. Ces règles peuvent varier en fonction de la situation de différentes catégories de ressortissants de pays tiers ou d'apatrides et devraient être spécifiquement adaptées à cette situation.

(19)

Les États membres devraient veiller à transmettre des données dactyloscopiques d'une qualité appropriée aux fins d'une comparaison par le système informatisé de reconnaissance des empreintes digitales. Toutes les autorités ayant un droit d'accès à Eurodac devraient investir dans une formation appropriée ainsi que dans l'équipement technologique nécessaire. Les autorités ayant un droit d'accès à Eurodac devraient informer l'agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice, créée par le règlement (UE) no 1077/2011 du Parlement européen et du Conseil (10) (ci-après dénommée "agence"), des difficultés spécifiques rencontrées en ce qui concerne la qualité des données, afin d'y remédier.

(20)

L'impossibilité temporaire ou permanente de recueillir et/ou de transmettre des données dactyloscopiques, soit pour des raisons telles qu'une qualité insuffisante des données pour effectuer une comparaison appropriée, des problèmes techniques ou des motifs de protection de la santé, soit du fait que la personne concernée est mise dans l'impossibilité ou dans l'incapacité de fournir des empreintes digitales en raison de circonstances hors de son contrôle, ne devrait pas avoir d'incidence négative sur l'examen de la demande de protection internationale que cette personne a introduite, ni sur la décision en l'espèce.

(21)

Il convient que les résultats positifs obtenus dans Eurodac soient vérifiés par un expert en empreintes digitales, qui ait reçu une formation, de manière à garantir la détermination exacte de la responsabilité au titre du règlement (UE) no 604/2013, ainsi que l'identification précise du suspect ou de la victime de l'infraction pénale dont les données sont peut-être conservées dans Eurodac.

(22)

Il se peut que des ressortissants de pays tiers ou des apatrides qui ont demandé une protection internationale dans un État membre aient la possibilité de demander cette même protection dans un autre État membre pendant de nombreuses années encore. Par conséquent, la période maximale pendant laquelle les données dactyloscopiques devraient être conservées par le système central devrait être très longue. Étant donné que la plupart des ressortissants de pays tiers ou des apatrides qui sont installés dans l'Union depuis plusieurs années auront obtenu un statut de résident permanent, voire la nationalité d'un État membre à la fin de cette période, une période de dix ans devrait être considérée comme raisonnable pour la conservation de données dactyloscopiques.

(23)

La période de conservation devrait être écourtée dans certaines situations particulières, dans lesquelles il n'est pas nécessaire de conserver des données dactyloscopiques aussi longtemps. Les données dactyloscopiques devraient être effacées dès qu'un ressortissant de pays tiers ou un apatride obtient la nationalité d'un État membre.

(24)

Il convient de conserver les données des personnes dont les empreintes digitales ont été enregistrées initialement dans Eurodac lorsqu'elles ont introduit leur demande de protection internationale, et qui se sont vu accorder une protection internationale dans un État membre, afin de permettre la comparaison de ces données avec celles qui sont enregistrées au moment de l'introduction d'une demande de protection internationale.

(25)

L'agence a été chargée des tâches de la Commission concernant la gestion opérationnelle d'Eurodac conformément au présent règlement, ainsi que de certaines tâches liées à l'infrastructure de communication depuis l'entrée en fonction de l'agence au 1er décembre 2012. Il convient que l'agence exerce les tâches qui lui sont confiées en vertu du présent règlement et que les dispositions pertinentes du règlement (UE) no 1077/2011 soient modifiées en conséquence. Par ailleurs, Europol devrait avoir le statut d'observateur aux réunions du conseil d'administration de l'agence lorsqu'une question liée à l'application du présent règlement concernant l'accès en consultation à Eurodac par les autorités désignées des États membres et Europol aux fins de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves, ainsi qu'aux fins des enquêtes en la matière, figure à l'ordre du jour. Il convient qu'Europol puisse désigner un représentant au sein du groupe consultatif sur Eurodac relevant de l'agence.

(26)

Le statut des fonctionnaires de l'Union européenne (ci-après dénommé "statut des fonctionnaires") et le régime applicable aux autres agents de l'Union européenne (ci-après dénommé "régime"), fixés par le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (11) (ci-après dénommés conjointement "statut") devraient s'appliquer à l'ensemble du personnel de l'agence travaillant sur des questions relatives au présent règlement.

(27)

Il est nécessaire de fixer clairement les responsabilités respectives de la Commission et de l'agence, en ce qui concerne le système central et l'infrastructure de communication, et des États membres, en ce qui concerne le traitement des données, la sécurité des données, l'accès aux données enregistrées et leur correction.

(28)

Il convient de désigner les autorités compétentes des États membres ainsi que le point d'accès national par l'intermédiaire desquels les demandes de comparaison avec les données d'Eurodac sont présentées et de dresser une liste des unités opérationnelles, au sein des autorités désignées, qui sont autorisées à demander ces comparaisons aux fins spécifiques de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves, ainsi que des enquêtes en la matière.

(29)

Les demandes de comparaison avec les données conservées dans le système central devraient être présentées par les unités opérationnelles au sein des autorités désignées auprès du point d'accès national, par l'intermédiaire de l'autorité chargée de la vérification, et devraient être motivées. Les unités opérationnelles au sein des autorités désignées qui sont autorisées à demander des comparaisons avec les données d'Eurodac ne devraient pas exercer les fonctions d'autorité chargée de la vérification. Les autorités chargées de la vérification devraient agir indépendamment des autorités désignées et devraient veiller, de manière indépendante, au respect strict des conditions d'accès fixées dans le présent règlement. Les autorités chargées de la vérification devraient ensuite, sans en indiquer les motifs, transférer la demande de comparaison par l'intermédiaire du point d'accès national au système central après avoir vérifié que toutes les conditions d'accès sont remplies. Dans des cas d'urgence exceptionnels, lorsqu'un accès rapide est nécessaire pour réagir à une menace spécifique et réelle liée à des infractions terroristes ou à d'autres infractions pénales graves, l'autorité chargée de la vérification devrait traiter immédiatement la demande et ne procéder aux vérifications qu'ultérieurement.

(30)

L'autorité désignée et l'autorité chargée de la vérification peuvent appartenir à la même organisation si le droit national le permet, mais l'autorité chargée de la vérification devrait agir en toute indépendance quand elle exerce ses fonctions au titre du présent règlement.

(31)

Aux fins de la protection des données à caractère personnel, et dans le but d'exclure les comparaisons systématiques, qui devraient être interdites, le traitement des données d'Eurodac ne devrait avoir lieu que dans des cas particuliers et pour autant que cela est nécessaire aux fins de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves, ou des enquêtes en la matière. Constitue notamment un cas particulier le fait que la demande de comparaison soit liée à une situation spécifique et concrète ou à un danger spécifique et concret en rapport avec une infraction terroriste ou une autre infraction pénale grave, ou à des personnes spécifiques à l'égard desquelles il existe des raisons sérieuses de croire qu'elles ont commis ou commettront de telles infractions. Constitue également un cas particulier le fait que la demande de comparaison est liée à une personne victime d'une infraction terroriste ou d'une autre infraction pénale grave. Les autorités désignées et Europol ne devraient dès lors demander une comparaison avec Eurodac que lorsqu'ils ont des motifs raisonnables de penser que cette comparaison fournira des informations qui faciliteront de manière significative la prévention ou la détection d'une infraction terroriste ou d'autres infractions pénales graves, ou des enquêtes en la matière.

(32)

En outre, l'accès ne devrait être autorisé que lorsque les comparaisons avec les bases nationales de données dactyloscopiques de l'État membre et avec les systèmes automatisés d'identification dactyloscopique de tous les autres États membres au titre de la décision 2008/615/JAI du Conseil du 23 juin 2008 relative à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière (12), n'ont pas permis de déterminer l'identité de la personne concernée. Cette condition impose à l'État membre demandeur d'effectuer des comparaisons avec les systèmes automatisés d'identification dactyloscopique de tous les autres États membres au titre de la décision 2008/615/JAI, qui sont disponibles techniquement, à moins que cet État membre puisse prouver qu'il a des motifs raisonnables de croire que ces comparaisons ne permettraient pas de déterminer l'identité de la personne concernée. Il existe notamment de tels motifs raisonnables quand le cas particulier ne comporte aucun lien de nature opérationnelle ou d'enquête avec un quelconque État membre. Cette condition impose à l'État membre demandeur de procéder à la mise en œuvre préalable d'un point de vue juridique et technique de la décision 2008/615/JAI dans le domaine des données dactyloscopiques, dès lors qu'il ne devrait pas être permis de procéder à une vérification dans Eurodac à des fins répressives lorsque les dispositions susmentionnées n'ont pas d'abord été prises.

(33)

Avant de consulter Eurodac, les autorités désignées devraient également consulter, pour autant que les conditions d'une comparaison soient réunies, le système d'information sur les visas au titre de la décision 2008/633/JAI du Conseil du 23 juin 2008 concernant l'accès en consultation au système d'information sur les visas (VIS) par les autorités désignées des États membres et par l'Office européen de police (Europol) aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes en la matière (13).

(34)

Aux fins d'une comparaison et d'un échange de données à caractère personnel efficaces, les États membres devraient mettre en œuvre et utiliser pleinement les accords internationaux existants ainsi que le droit de l'Union en matière d'échange de données à caractère personnel déjà en vigueur, en particulier la décision 2008/615/JAI.

(35)

L'intérêt supérieur de l'enfant devrait être une considération primordiale pour les États membres lors de l'application du présent règlement. Lorsque l'État membre demandeur établit que les données d'Eurodac concernent un mineur, il n'utilise celles-ci à des fins répressives que dans le respect de sa législation sur les mineurs et conformément à l'obligation selon laquelle l'intérêt supérieur de l'enfant doit être une considération primordiale.

(36)

Tandis que la responsabilité non contractuelle de l'Union en ce qui concerne le fonctionnement du système Eurodac sera régie par les dispositions pertinentes du traité sur le fonctionnement de l'Union européenne, il est nécessaire de fixer des règles spécifiques pour la responsabilité non contractuelle des États membres liée au fonctionnement du système.

(37)

Étant donné que l'objectif du présent règlement, à savoir la création d'un système de comparaison des données dactyloscopiques pour aider à la mise en œuvre de la politique de l'Union en matière d'asile, ne peut pas, de par sa nature même, être atteint de manière suffisante par les États membres et peut donc être mieux atteint au niveau de l'Union, l'Union peut prendre des mesures conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, le présent règlement n'excède pas ce qui est nécessaire pour atteindre cet objectif.

(38)

La directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (14) s'applique au traitement de données à caractère personnel effectué en application du présent règlement par les États membres, sauf si ce traitement est effectué par les autorités désignées ou les autorités chargées de la vérification des États membres aux fins de la prévention ou de la détection d'infractions terroristes ou d'autres infractions pénales graves, ou des enquêtes en la matière.

(39)

Les traitements de données à caractère personnel par les autorités des États membres, aux fins de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves, ou des enquêtes en la matière, en vertu du présent règlement devraient être soumis à des normes de protection des données à caractère personnel au titre de leur droit national qui respectent la décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (15).

(40)

Les principes énoncés dans la directive 95/46/CE en matière de protection des droits et des libertés des personnes physiques, notamment du droit à la vie privée, à l'égard du traitement des données à caractère personnel, devraient être complétés ou clarifiés, notamment en ce qui concerne certains secteurs.

(41)

Les transferts des données à caractère personnel obtenues en vertu du présent règlement par un État membre ou par Europol, à partir du système central, vers quelque pays tiers, organisation internationale ou entité de droit privé, qui a son siège dans ou hors de l'Union, devraient être interdits afin de garantir le droit d'asile et de protéger les demandeurs d'une protection internationale contre toute divulgation de leurs données à un pays tiers. Il en résulte que les États membres ne devraient pas transférer des informations obtenues à partir du système central qui concernent: l'État membre ou les États membres d'origine; la date et le lieu de la demande de protection internationale; le numéro de référence attribué par l'État membre d'origine; la date de relevé des empreintes digitales, ainsi que la date à laquelle l'État membre ou les États membres ont transmis les données à Eurodac; le code d'identification de l'opérateur; et toute information relative à tout transfert de la personne concernée au titre du règlement (UE) no 604/2013. Cette interdiction ne devrait pas porter atteinte au droit des États membres de transférer ces données à des pays tiers auxquels s'applique le règlement (UE) no 604/2013, de sorte que les États membres puissent coopérer avec ces pays tiers aux fins du présent règlement.

(42)

Les autorités nationales de contrôle devraient contrôler la licéité du traitement des données à caractère personnel réalisé par les États membres, et l'autorité de contrôle commune créée par la décision 2009/371/JAI devrait faire de même pour les activités de traitement de données réalisées par Europol.

(43)

Le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (16), et notamment ses articles 21 et 22 relatifs à la confidentialité et à la sécurité des traitements, s'applique aux opérations de traitement des données à caractère personnel effectuées par les institutions, organes et organismes de l'Union en vertu du présent règlement. Certains points devraient toutefois être clarifiés en ce qui concerne la responsabilité du traitement des données et la surveillance de la protection des données, tout en gardant à l'esprit que la protection des données constitue un facteur-clé du bon fonctionnement d'Eurodac et que la sécurité des données, un niveau élevé de qualité technique et la légalité de la consultation sont essentiels pour assurer le bon fonctionnement d'Eurodac, ainsi que pour faciliter l'application du règlement (UE) no 604/2013.

(44)

La personne concernée devrait être informée de la fin pour laquelle ses données seront traitées dans Eurodac, ce qui comprend une description des objectifs du règlement (UE) no 604/2013, ainsi que de l'utilisation qui pourra être faite de ses données par les autorités répressives.

(45)

Il convient que les autorités nationales de contrôle contrôlent la licéité du traitement des données à caractère personnel par les États membres, tandis que le Contrôleur européen de la protection des données, visé au règlement (CE) no 45/2001, devrait contrôler les activités des institutions, organes et organismes de l'Union en rapport avec le traitement des données à caractère personnel effectué en application du présent règlement.

(46)

Les États membres, le Parlement européen, le Conseil et la Commission devraient veiller à ce que les autorités nationales et européenne de contrôle soient en mesure de contrôler l'accès aux données d'Eurodac et l'usage qui en est fait.

(47)

Il convient de suivre et d'évaluer les résultats d'Eurodac à intervalles réguliers, notamment en examinant si l'accès des autorités répressives n'a pas conduit à des discriminations indirectes à l'égard de demandeurs d'une protection internationale, ainsi que la Commission s'en inquiétait dans son évaluation du respect par le présent règlement de la charte des droits fondamentaux de l'Union européenne (ci-après dénommée "charte"). L'agence devrait soumettre au Parlement européen et au Conseil un rapport annuel sur les activités du système central.

(48)

Les États membres devraient prévoir un régime de sanctions efficaces, proportionnées et dissuasives à appliquer en cas de traitement des données saisies dans le système central contraire à l'objet d'Eurodac.

(49)

Il est nécessaire que les États membres soient informés du statut des procédures d'asile particulières, afin de faciliter une application correcte du règlement (UE) no 604/2013.

(50)

Le présent règlement respecte les droits fondamentaux et observe les principes consacrés notamment par la charte. En particulier, il vise à garantir le plein respect de la protection des données à caractère personnel et du droit de demander une protection internationale ainsi qu'à encourager l'application des articles 8 et 18 de la charte. Le présent règlement devrait donc être appliqué en conséquence.

(51)

Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Danemark ne participe pas à l'adoption du présent règlement et n'est pas lié par celui-ci ni soumis à son application.

(52)

Conformément à l'article 3 du protocole no 21 sur la position du Royaume-Uni et de l'Irlande à l'égard de l'espace de liberté, de sécurité et de justice annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Royaume-Uni a notifié son souhait de participer à l'adoption et à l'application du présent règlement.

(53)

Conformément aux articles 1er et 2 du protocole no 21 sur la position du Royaume-Uni et de l'Irlande à l'égard de l'espace de liberté, de sécurité et de justice annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, et sans préjudice de l'article 4 dudit protocole, l'Irlande ne participe pas à l'adoption du présent règlement et n'est pas liée par celui-ci ni soumise à son application.

(54)

Il convient de restreindre le champ d'application territorial du présent règlement afin de le faire correspondre à celui du règlement (UE) no 604/2013,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I

DISPOSITIONS GÉNÉRALES

Article premier

Objet d'"Eurodac"

1.   Il est créé un système, appelé "Eurodac", dont l'objet est de contribuer à déterminer l'État membre qui, en vertu du règlement (UE) no 604/2013, est responsable de l'examen d'une demande de protection internationale introduite dans un État membre par un ressortissant de pays tiers ou un apatride et de faciliter à d'autres égards l'application du règlement (UE) no 604/2013 dans les conditions prévues par le présent règlement.

2.   Le présent règlement définit également les conditions dans lesquelles les autorités désignées des États membres et l'Office européen de police (Europol) peuvent demander la comparaison de données dactyloscopiques avec celles conservées dans le système central à des fins répressives.

3.   Sans préjudice du traitement des données destinées à Eurodac par l'État membre d'origine dans des fichiers institués en vertu de son droit national, les données dactyloscopiques et les autres données à caractère personnel ne peuvent être traitées dans Eurodac qu'aux fins prévues dans le présent règlement et à l'article 34, paragraphe 1, du règlement (UE) no 604/2013.

Article 2

Définitions

1.   Aux fins du présent règlement, on entend par:

a)   "demandeur d'une protection internationale": un ressortissant de pays tiers ou un apatride qui a présenté une demande de protection internationale au sens de l'article 2, point h), de la directive 2011/95/UE, sur laquelle il n'a pas encore été statué définitivement;

b)   "État membre d'origine":

i)

dans le cas d'une personne relevant de l'article 9, paragraphe 1, l'État membre qui transmet les données à caractère personnel au système central et reçoit les résultats de la comparaison;

ii)

dans le cas d'une personne relevant de l'article 14, paragraphe 1, l'État membre qui transmet les données à caractère personnel au système central;

iii)

dans le cas d'une personne relevant de l'article 17, paragraphe 1, l'État membre qui transmet les données à caractère personnel au système central et reçoit les résultats de la comparaison;

c)   "bénéficiaire d'une protection internationale": un ressortissant de pays tiers ou un apatride à qui une protection internationale a été accordée au sens de l'article 2, point a), de la directive 2011/95/UE;

d)   "résultat positif": la ou les concordances constatées par le système central à la suite d'une comparaison entre les données dactyloscopiques enregistrées dans la base de données centrale informatisée et celles qui ont été transmises par un État membre concernant une personne, sans préjudice de l'obligation qui incombe aux États membres de vérifier immédiatement les résultats de la comparaison conformément à l'article 25, paragraphe 4;

e)   "point d'accès national": le système national désigné pour communiquer avec le système central;

f)   "agence": l'agence créée par le règlement (UE) no 1077/2011;

g)   "Europol": l'Office européen de police créé par la décision 2009/371/JAI;

h)   "données d'Eurodac": toutes les données conservées dans le système central conformément à l'article 11 et à l'article 14, paragraphe 2;

i)   "à des fins répressives": la prévention ou la détection des infractions terroristes ou d'autres infractions pénales graves, ou des enquêtes en la matière;

j)   "infractions terroristes": les infractions au titre du droit national qui correspondent ou sont équivalentes à celles visées aux articles 1er à 4 de la décision-cadre 2002/475/JAI;

k)   "infractions pénales graves": les formes de criminalité qui correspondent ou sont équivalentes à celles visées à l'article 2, paragraphe 2, de la décision-cadre 2002/584/JAI, si elles sont passibles, en droit national, d'une peine privative de liberté ou d'une mesure de sûreté d'une durée maximale d'au moins trois ans;

l)   "données dactyloscopiques": les données relatives aux empreintes digitales de tous les doigts ou au moins des index et si ces derniers sont manquants, aux empreintes de tous les autres doigts d'une personne, ou à une empreinte digitale latente.

2.   Les termes définis à l'article 2 de la directive 95/46/CE ont la même signification dans le présent règlement pour autant que le traitement de données à caractère personnel soit effectué par les autorités des États membres aux fins prévues à l'article 1er, paragraphe 1, du présent règlement.

3.   Sauf disposition contraire, les termes définis à l'article 2 du règlement (UE) no 604/2013 ont la même signification dans le présent règlement.

4.   Les termes définis à l'article 2 de la décision-cadre 2008/977/JAI ont la même signification dans le présent règlement pour autant que le traitement de données à caractère personnel soit effectué par les autorités des États membres aux fins prévues à l'article 1er, paragraphe 2, du présent règlement.

Article 3

Architecture du système et principes de base

1.   Eurodac se compose:

a)

d'une base de données dactyloscopiques centrale et informatisée (ci-après dénommée "système central") comprenant:

i)

une unité centrale;

ii)

un plan et un système de maintien des activités;

b)

d'une infrastructure de communication entre le système central et les États membres, qui fournit un réseau virtuel crypté affecté aux données d'Eurodac (ci-après dénommée "infrastructure de communication").

2.   Chaque État membre dispose d'un seul point d'accès national.

3.   Les données relatives aux personnes relevant de l'article 9, paragraphe 1, de l'article 14, paragraphe 1, et de l'article 17, paragraphe 1, qui sont traitées par le système central le sont pour le compte de l'État membre d'origine dans les conditions prévues dans le présent règlement et sont séparées par des moyens techniques appropriés.

4.   Les règles régissant Eurodac s'appliquent également aux opérations effectuées par les États membres depuis la transmission des données au système central jusqu'à l'utilisation des résultats de la comparaison.

5.   La procédure de relevé des empreintes digitales est déterminée et appliquée conformément à la pratique nationale de l'État membre concerné et dans le respect des dispositions de sauvegarde établies dans la charte des droits fondamentaux de l'Union européenne, la convention pour la protection des droits de l'homme et des libertés fondamentales et la convention des Nations unies relative aux droits de l'enfant.

Article 4

Gestion opérationnelle

1.   L'agence est chargée de la gestion opérationnelle d'Eurodac.

La gestion opérationnelle d'Eurodac comprend toutes les tâches nécessaires pour qu'Eurodac puisse fonctionner 24 heures sur 24, 7 jours sur 7, conformément au présent règlement, notamment les travaux de maintenance et les perfectionnements techniques indispensables pour que le système fonctionne à un niveau satisfaisant de qualité opérationnelle, notamment pour ce qui est du temps nécessaire à l'interrogation du système central. Un plan et un système de maintien des activités sont développés en tenant compte des besoins en entretien et des temps d'arrêt imprévus du système, y compris de l'impact des mesures de maintien des activités sur la protection des données et sur la sécurité.

L'agence veille, en coopération avec les États membres, à ce que le système central bénéficie à tout moment des meilleures et des plus sûres techniques et technologie disponibles, sous réserve d'une analyse coût-bénéfice.

2.   L'agence est responsable des tâches suivantes en ce qui concerne l'infrastructure de communication:

a)

la supervision;

b)

la sécurité;

c)

la coordination des relations entre les États membres et le prestataire.

3.   Toutes les tâches relatives à l'infrastructure de communication autres que celles visées au paragraphe 2 incombent à la Commission, en particulier:

a)

l'exécution du budget;

b)

l'acquisition et le renouvellement;

c)

les questions contractuelles.

4.   Sans préjudice de l'article 17 du statut, l'agence applique des règles appropriées en matière de secret professionnel, ou impose des obligations de confidentialité équivalentes, à tous les membres de son personnel appelés à travailler avec les données d'Eurodac. Cette obligation continue de s'appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après la cessation de leurs activités.

Article 5

Autorités désignées des États membres à des fins répressives

1.   Aux fins prévues à l'article 1er, paragraphe 2, les États membres désignent les autorités qui sont autorisées à demander des comparaisons avec les données d'Eurodac en vertu du présent règlement. Les autorités désignées sont les autorités des États membres qui sont chargées de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves, ou des enquêtes en la matière. Les autorités désignées ne comprennent pas les agences ou les unités exclusivement responsables du renseignement en matière de sécurité intérieure.

2.   Chaque État membre tient une liste des autorités désignées.

3.   Chaque État membre tient une liste des unités opérationnelles qui, au sein des autorités désignées, sont autorisées à demander des comparaisons avec les données d'Eurodac par l'intermédiaire du point d'accès national.

Article 6

Autorités des États membres chargées de la vérification à des fins répressives

1.   Aux fins prévues à l'article 1er, paragraphe 2, chaque État membre désigne une autorité nationale unique ou une unité de cette autorité qui exerce les fonctions d'autorité chargée de la vérification. L'autorité chargée de la vérification est une autorité de l'État membre chargée de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves, ou des enquêtes en la matière.

L'autorité désignée et l'autorité chargée de la vérification peuvent appartenir à la même organisation si le droit national le permet, mais l'autorité chargée de la vérification agit en toute indépendance quand elle exécute ses tâches au titre du présent règlement. L'autorité chargée de la vérification est distincte des unités opérationnelles visées à l'article 5, paragraphe 3, et ne reçoit d'elles aucune instruction concernant le résultat de ses vérifications.

Les États membres peuvent, afin de refléter leur structure organisationnelle et administrative, désigner plus d'une autorité chargée de la vérification, conformément à leurs exigences constitutionnelles ou légales.

2.   L'autorité chargée de la vérification veille à ce que les conditions requises pour demander la comparaison d'empreintes digitales avec les données d'Eurodac soient remplies.

Seul le personnel dûment habilité de l'autorité chargée de la vérification est autorisé à recevoir et transmettre une demande d'accès à Eurodac, conformément à l'article 19.

L'autorité chargée de la vérification est seule autorisée à transmettre les demandes de comparaison d'empreintes digitales au point d'accès national.

Article 7

Europol

1.   Aux fins prévues à l'article 1er, paragraphe 2, Europol désigne en tant qu'autorité chargée de la vérification une unité spécialisée composée d'agents d'Europol dûment habilités, qui, par rapport à l'autorité désignée, visée au paragraphe 2 du présent article, agit en toute indépendance quand elle exerce ses fonctions au titre du présent règlement et ne reçoit de l'autorité désignée aucune instruction concernant le résultat de ses vérifications. L'unité veille à ce que les conditions requises pour demander la comparaison d'empreintes digitales avec les données d'Eurodac soient remplies. Europol choisit, en accord avec chaque État membre, le point d'accès national de ce dernier qui communique au système central ses demandes de comparaison de données dactyloscopiques.

2.   Aux fins prévues à l'article 1er, paragraphe 2, Europol désigne une unité opérationnelle autorisée à demander des comparaisons avec les données d'Eurodac par l'intermédiaire de son point d'accès national. L'autorité désignée est une unité opérationnelle d'Europol compétente pour collecter, conserver, traiter, analyser et échanger des informations afin de soutenir et renforcer l'action des États membres en matière de prévention ou de détection des infractions terroristes ou d'autres infractions pénales graves, ou des enquêtes en la matière, qui relèvent du mandat d'Europol.

Article 8

Statistiques

1.   L'agence établit des statistiques trimestrielles sur les travaux du système central, faisant apparaître notamment:

a)

le nombre de données qui ont été transmises concernant les personnes visées à l'article 9, paragraphe 1, à l'article 14, paragraphe 1, et à l'article 17, paragraphe 1;

b)

le nombre de résultats positifs relatifs à des demandeurs d'une protection internationale qui ont introduit une demande de protection internationale dans un autre État membre;

c)

le nombre de résultats positifs relatifs aux personnes visées à l'article 14, paragraphe 1, qui ont introduit une demande de protection internationale à une date ultérieure;

d)

le nombre de résultats positifs relatifs aux personnes visées à l'article 17, paragraphe 1, qui ont introduit une demande de protection internationale dans un autre État membre;

e)

le nombre de données dactyloscopiques que le système central a dû demander plus d'une fois aux États membres d'origine parce que les données dactyloscopiques transmises la première fois ne se prêtaient pas à la comparaison effectuée avec le système informatisé de reconnaissance des empreintes digitales;

f)

le nombre d'ensembles de données marqués, de ceux dont la marque distinctive a été retirée et de ceux verrouillés et déverrouillés conformément à l'article 18, paragraphes 1 et 3;

g)

le nombre de résultats positifs relatifs à des personnes visées à l'article 18, paragraphe 1, pour lesquelles des résultats positifs ont été enregistrés au titre des points b) et d) du présent article;

h)

le nombre des demandes et des résultats positifs visés à l'article 20, paragraphe 1;

i)

le nombre des demandes et des résultats positifs visés à l'article 21, paragraphe 1.

2.   Des statistiques sont établies à la fin de chaque année, sous forme de compilation des statistiques trimestrielles de l'année écoulée, qui indiquent le nombre de personnes pour lesquelles des résultats positifs ont été enregistrés au titre des points b), c), et d) du paragraphe 1. Les statistiques présentent une ventilation des données par État membre. Les résultats sont rendus publics.

CHAPITRE II

DEMANDEURS D'UNE PROTECTION INTERNATIONALE

Article 9

Collecte, transmission et comparaison des empreintes digitales

1.   Chaque État membre relève sans tarder l'empreinte digitale de tous les doigts de chaque demandeur d'une protection internationale âgé de 14 ans au moins et la transmet au système central dès que possible et au plus tard 72 heures suivant l'introduction de la demande de protection internationale telle que définie à l'article 20, paragraphe 2, du règlement (UE) no 604/2013, accompagnée des données visées à l'article 11, points b) à g) du présent règlement.

Le non-respect du délai de 72 heures n'exonère pas les États membres de l'obligation de relever et de transmettre les empreintes digitales au système central. Lorsque l'état des doigts ne permet pas de relever des empreintes digitales d'une qualité suffisante pour une comparaison appropriée au titre de l'article 25, l'État membre d'origine procède à un nouveau relevé des empreintes digitales du demandeur et le retransmet dès que possible et au plus tard 48 heures suivant ledit relevé de bonne qualité.

2.   Par dérogation au paragraphe 1, lorsqu'il n'est pas possible de relever les empreintes digitales d'un demandeur d'une protection internationale en raison de mesures arrêtées pour sauvegarder sa santé ou de mesures de santé publique, les États membres relèvent et transmettent celles-ci dès que possible et au plus tard 48 heures après la disparition desdits motifs de santé.

En cas de difficultés techniques graves, les États membres peuvent prolonger le délai de 72 heures, visé au paragraphe 1, d'une durée maximale de 48 heures afin d'exécuter leur plan national de maintenance.

3.   Les données dactyloscopiques au sens de l'article 11, point a), qui sont transmises par un État membre, à l'exception des données transmises conformément à l'article 10, point b), sont comparées automatiquement avec les données dactyloscopiques transmises par d'autres États membres qui sont déjà conservées dans le système central.

4.   Le système central garantit, si un État membre le demande, que la comparaison visée au paragraphe 3 couvre les données dactyloscopiques transmises précédemment par cet État membre, en plus des données provenant d'autres États membres.

5.   Le système central transmet automatiquement le résultat positif ou négatif de la comparaison à l'État membre d'origine. En cas de résultat positif, il transmet, pour tous les ensembles de données correspondant au résultat positif, les données visées à l'article 11, points a) à k), en même temps que la marque visée à l'article 18, paragraphe 1, le cas échéant.

Article 10

Informations sur le statut de la personne concernée

Les informations suivantes sont transmises au système central pour être conservées conformément à l'article 12 aux fins de la transmission au titre de l'article 9, paragraphe 5.

a)

Lorsqu'un demandeur d'une protection internationale ou une autre personne visée à l'article 18, paragraphe 1, point d), du règlement (UE) no 604/2013 arrive dans l'État membre responsable à la suite d'un transfert effectué en vertu d'une décision faisant droit à une requête aux fins de reprise en charge telle que visée à l'article 25 dudit règlement, l'État membre responsable actualise l'ensemble de données enregistré conformément à l'article 11 du présent règlement, au sujet de la personne concernée, en y ajoutant sa date d'arrivée.

b)

Lorsqu'un demandeur d'une protection internationale arrive dans l'État membre responsable à la suite d'un transfert effectué en vertu d'une décision faisant droit à une requête aux fins de prise en charge conformément à l'article 22 du règlement (UE) no 604/2013, l'État membre responsable transmet un ensemble de données enregistré conformément à l'article 11 du présent règlement, au sujet de la personne concernée, en y incluant sa date d'arrivée.

c)

Dès qu'il peut établir que la personne concernée dont les données ont été enregistrées dans Eurodac conformément à l'article 11 du présent règlement a quitté le territoire des États membres, l'État membre d'origine actualise l'ensemble de données enregistré conformément à l'article 11 du présent règlement, au sujet de la personne concernée, en y ajoutant la date à laquelle celle-ci a quitté le territoire, afin de faciliter l'application de l'article 19, paragraphe 2, et de l'article 20, paragraphe 5, du règlement (UE) no 604/2013.

d)

Dès qu'il est assuré que la personne concernée dont les données ont été enregistrées dans Eurodac conformément à l'article 11 du présent règlement a quitté le territoire des États membres en exécution d'une décision de retour ou d'une mesure d'éloignement qu'il a arrêtée à la suite du retrait ou du rejet de la demande de protection internationale tel que prévu à l'article 19, paragraphe 3, du règlement (UE) no 604/2013, l'État membre d'origine actualise l'ensemble de données enregistré conformément à l'article 11 du présent règlement, au sujet de la personne concernée, en y ajoutant la date de son éloignement ou la date à laquelle elle a quitté le territoire.

(e)

L'État membre qui devient responsable conformément à l'article 17, paragraphe 1, du règlement (UE) no 604/2013 actualise l'ensemble de données enregistré conformément à l'article 11 du présent règlement au sujet du demandeur d'une protection internationale en y ajoutant la date à laquelle la décision d'examiner sa demande a été arrêtée.

Article 11

Enregistrement des données

Seules sont enregistrées dans le système central les données suivantes:

a)

données dactyloscopiques;

b)

État membre d'origine, lieu et date de la demande de protection internationale; dans les cas visés à l'article 10, point b), la date de la demande est la date saisie par l'État membre qui a procédé au transfert du demandeur;

c)

sexe;

d)

numéro de référence attribué par l'État membre d'origine;

e)

date à laquelle les empreintes ont été relevées;

f)

date à laquelle les données ont été transmises au système central;

g)

code d'identification de l'opérateur;

h)

le cas échéant, conformément à l'article 10, point a) ou b), la date d'arrivée de la personne concernée à la suite d'un transfert réussi;

i)

le cas échéant, conformément à l'article 10, point c), la date à laquelle la personne concernée a quitté le territoire des États membres;

j)

le cas échéant, conformément à l'article 10, point d), la date à laquelle la personne concernée a quitté le territoire des États membres ou en a été éloignée;

k)

le cas échéant, conformément à l'article 10, point e), la date à laquelle la décision d'examiner la demande a été prise.

Article 12

Conservation des données

1.   Chaque ensemble de données visé à l'article 11 est conservé dans le système central pendant dix ans à compter de la date du relevé des empreintes.

2.   Passé le délai visé au paragraphe 1, les données sont automatiquement effacées du système central par celui-ci.

Article 13

Effacement anticipé des données

1.   Les données concernant une personne qui a acquis la nationalité d'un État membre, quel qu'il soit, avant l'expiration de la période visée à l'article 12, paragraphe 1, sont effacées du système central, conformément à l'article 27, paragraphe 4, dès que l'État membre d'origine apprend que la personne concernée a acquis ladite nationalité.

2.   Le système central informe, dès que possible et au plus tard après 72 heures, tous les États membres d'origine de l'effacement de données effectué conformément au paragraphe 1 par un autre État membre d'origine ayant généré un résultat positif avec des données qu'ils avaient transmises concernant des personnes visées à l'article 9, paragraphe 1, ou à l'article 14, paragraphe 1.

CHAPITRE III

RESSORTISSANTS DE PAYS TIERS OU APATRIDES INTERPELLÉS À L'OCCASION DU FRANCHISSEMENT IRRÉGULIER D'UNE FRONTIÈRE EXTÉRIEURE

Article 14

Collecte et transmission des données dactyloscopiques

1.   Chaque État membre relève sans tarder l'empreinte digitale de tous les doigts de chaque ressortissant de pays tiers ou apatride, âgé de 14 ans au moins, qui, à l'occasion du franchissement irrégulier de sa frontière terrestre, maritime ou aérienne en provenance d'un pays tiers, a été interpellé par les autorités de contrôle compétentes et qui n'a pas été refoulé ou qui demeure physiquement sur le territoire des États membres et ne fait pas l'objet d'une mesure de confinement, de rétention ou de détention durant toute la période comprise entre son interpellation et son éloignement sur le fondement de la décision de refoulement.

2.   L'État membre concerné transmet, dès que possible et au plus tard 72 heures après son interpellation, au système central les données suivantes relatives à tout ressortissant de pays tiers ou apatride se trouvant dans la situation décrite au paragraphe 1 et qui n'a pas été refoulé:

a)

données dactyloscopiques;

b)

État membre d'origine, lieu où l'intéressé a été interpellé et date;

c)

sexe;

d)

numéro de référence attribué par l'État membre d'origine;

e)

date à laquelle les empreintes ont été relevées;

f)

date à laquelle les données ont été transmises au système central;

g)

code d'identification de l'opérateur.

3.   Par dérogation au paragraphe 2, la transmission des données visées au paragraphe 2 concernant les personnes interpellées comme décrit au paragraphe 1 qui demeurent physiquement sur le territoire des États membres, mais font l'objet d'une mesure de confinement, de rétention ou de détention à compter de leur interpellation et pour une période de plus de 72 heures a lieu avant leur libération de ce confinement, de cette rétention ou de cette détention.

4.   Le non-respect du délai de 72 heures visé au paragraphe 2 du présent article n'exonère pas les États membres de l'obligation de relever et de transmettre les empreintes digitales au système central. Lorsque l'état des doigts desdites personnes ne permet pas de relever des empreintes digitales d'une qualité suffisante pour une comparaison appropriée au titre de l'article 25, l'État membre d'origine procède à un nouveau relevé des empreintes digitales des personnes interpellées comme décrit au paragraphe 1 du présent article et le retransmet dès que possible et au plus tard 48 heures suivant ce relevé de bonne qualité.

5.   Par dérogation au paragraphe 1, lorsqu'il n'est pas possible de relever les empreintes digitales de la personne interpellée en raison de mesures arrêtées pour sauvegarder sa santé ou de mesures de santé publique, l'État membre concerné relève et transmet ces empreintes digitales dès que possible et au plus tard 48 heures après la disparition desdits motifs de santé.

En cas de difficultés techniques graves, les États membres peuvent prolonger le délai de 72 heures visé au paragraphe 2 d'une durée maximale de 48 heures afin d'exécuter leur plan national de maintenance.

Article 15

Enregistrement des données

1.   Les données visées à l'article 14, paragraphe 2, sont enregistrées dans le système central.

Sans préjudice de l'article 8, les données transmises au système central en vertu de l'article 14, paragraphe 2, sont enregistrées uniquement aux fins de leur comparaison avec les données relatives à des demandeurs d'une protection internationale transmises ultérieurement au système central et aux fins prévues à l'article 1er, paragraphe 2.

Le système central ne compare pas les données qui lui sont transmises en vertu de l'article 14, paragraphe 2, avec des données qui y ont été enregistrées antérieurement ni avec des données qui lui sont transmises ultérieurement en vertu de l'article 14, paragraphe 2.

2.   En ce qui concerne la comparaison des données relatives à des demandeurs d'une protection internationale transmises ultérieurement au système central avec les données visées au paragraphe 1, les procédures prévues à l'article 9, paragraphes 3 et 5, et à l'article 25, paragraphe 4, s'appliquent.

Article 16

Conservation des données

1.   Chaque ensemble de données relatives à un ressortissant de pays tiers ou à un apatride visé à l'article 14, paragraphe 1, est conservé dans le système central pendant dix-huit mois à compter de la date à laquelle ses empreintes digitales ont été relevées. Passé ce délai, le système central efface automatiquement ces données.

2.   Les données relatives à un ressortissant de pays tiers ou à un apatride visé à l'article 14, paragraphe 1, sont effacées du système central conformément à l'article 28, paragraphe 3, dès que l'État membre d'origine a connaissance, avant l'expiration du délai de dix-huit mois visé au paragraphe 1 du présent article, de l'un des faits suivants:

a)

le ressortissant de pays tiers ou l'apatride s'est vu délivrer un document de séjour;

b)

le ressortissant de pays tiers ou l'apatride a quitté le territoire des États membres;

c)

le ressortissant de pays tiers ou l'apatride a acquis la nationalité d'un État membre, quel qu'il soit.

3.   Le système central informe, dès que possible et au plus tard après 72 heures, tous les États membres d'origine de l'effacement de données effectué pour la raison mentionnée au paragraphe 2, point a) ou b), du présent article par un autre État membre d'origine ayant généré un résultat positif avec des données qu'ils avaient transmises concernant des personnes visées à l'article 14, paragraphe 1.

4.   Le système central informe, dès que possible et au plus tard après 72 heures, tous les États membres d'origine de l'effacement de données effectué pour la raison mentionnée au paragraphe 2, point c), du présent article par un autre État membre d'origine ayant généré un résultat positif avec des données qu'ils avaient transmises concernant des personnes visées à l'article 9, paragraphe 1, ou à l'article 14, paragraphe 1.

CHAPITRE IV

RESSORTISSANTS DE PAYS TIERS OU APATRIDES SÉJOURNANT ILLÉGALEMENT SUR LE TERRITOIRE D'UN ÉTAT MEMBRE

Article 17

Comparaison des données dactyloscopiques

1.   En vue de vérifier si un ressortissant de pays tiers ou un apatride séjournant illégalement sur son territoire n'a pas auparavant introduit une demande de protection internationale dans un autre État membre, un État membre peut transmettre au système central les données dactyloscopiques relatives aux empreintes digitales qu'il peut avoir relevées sur un tel ressortissant de pays tiers ou apatride, âgé de 14 ans au moins, ainsi que le numéro de référence attribué par cet État membre.

En règle générale, il y a lieu de vérifier si un ressortissant de pays tiers ou un apatride n'a pas auparavant introduit une demande de protection internationale dans un autre État membre lorsque:

a)

le ressortissant de pays tiers ou l'apatride déclare qu'il a introduit une demande de protection internationale mais n'indique pas l'État membre dans lequel il l'a introduite;

b)

le ressortissant de pays tiers ou l'apatride ne demande pas de protection internationale mais s'oppose à son renvoi dans son pays d'origine en faisant valoir qu'il s'y trouverait en danger; ou

c)

le ressortissant de pays tiers ou l'apatride fait en sorte d'empêcher d'une autre manière son éloignement en refusant de coopérer à l'établissement de son identité, notamment en ne présentant aucun document d'identité ou en présentant de faux documents d'identité.

2.   Lorsque les États membres prennent part à la procédure visée au paragraphe 1, ils transmettent au système central les données dactyloscopiques concernant tous les doigts ou au moins les index des ressortissants de pays tiers ou apatrides visés au paragraphe 1, et, si les index sont manquants, ils communiquent les empreintes de tous les autres doigts.

3.   Les données dactyloscopiques d'un ressortissant de pays tiers ou d'un apatride visé au paragraphe 1 sont transmises au système central aux seules fins de leur comparaison avec les données dactyloscopiques concernant des demandeurs d'une protection internationale transmises par d'autres États membres et déjà enregistrées dans le système central.

Les données dactyloscopiques d'un tel ressortissant de pays tiers ou apatride ne sont pas enregistrées dans le système central; elles ne sont pas non plus comparées avec les données transmises au système central en vertu de l'article 14, paragraphe 2.

4.   Une fois les résultats de la comparaison des données dactyloscopiques transmis à l'État membre d'origine, le système central ne conserve un enregistrement de la recherche qu'aux seules fins prévues à l'article 28. Les États membres ou le système central ne peuvent conserver aucun autre enregistrement de la recherche à d'autres fins.

5.   En ce qui concerne la comparaison des données dactyloscopiques transmises au titre du présent article avec les données dactyloscopiques de demandeurs d'une protection internationale transmises par d'autres États membres qui ont déjà été enregistrées dans le système central, les procédures prévues à l'article 9, paragraphes 3 et 5, ainsi qu'à l'article 25, paragraphe 4, s'appliquent.

CHAPITRE V

BÉNÉFICIAIRES D'UNE PROTECTION INTERNATIONALE

Article 18

Marquage des données

1.   Aux fins prévues à l'article 1er, paragraphe 1, l'État membre d'origine ayant accordé une protection internationale à un demandeur d'une protection internationale dont les données ont été précédemment enregistrées dans le système central en vertu de l'article 11 marque les données pertinentes conformément aux exigences de la communication électronique avec le système central fixées par l'agence. Ce marquage est conservé dans le système central conformément à l'article 12 aux fins de la transmission au titre de l'article 9, paragraphe 5. Le système central informe tous les États membres d'origine du marquage par un autre État membre d'origine de données ayant généré un résultat positif avec des données qu'ils avaient transmises au sujet de personnes visées à l'article 9, paragraphe 1, ou à l'article 14, paragraphe 1. Ces États membres d'origine marquent également les ensembles de données correspondants.

2.   Les données des bénéficiaires d'une protection internationale qui sont conservées dans le système central et qui sont marquées en vertu du paragraphe 1 du présent article sont disponibles pour une comparaison aux fins prévues à l'article 1er, paragraphe 2, pendant trois ans après la date à laquelle la protection internationale a été accordée à la personne concernée.

En cas de résultat positif, le système central transmet, pour tous les ensembles de données correspondant audit résultat, les données visées à l'article 11, points a) à k). Il ne transmet pas la marque visée au paragraphe 1 du présent article. Passé le délai de trois ans, le système central verrouille automatiquement la transmission de ces données dans le cas d'une demande de comparaison aux fins prévues à l'article 1er, paragraphe 2, tout en laissant ces données disponibles pour une comparaison aux fins prévues à l'article 1er, paragraphe 1, jusqu'à leur effacement. Les données verrouillées ne sont pas transmises et le système central renvoie un résultat négatif à l'État membre demandeur en cas de résultat positif.

3.   L'État membre d'origine retire la marque distinctive ou le verrouillage appliqué aux données d'un ressortissant de pays tiers ou d'un apatride dont les données étaient précédemment marquées ou verrouillées conformément aux paragraphes 1 ou 2 du présent article si le statut de cette personne est révoqué ou s'il y est mis fin ou si son renouvellement est refusé en vertu de l'article 14 ou de l'article 19 de la directive 2011/95/UE.

CHAPITRE VI

PROCÉDURE DE COMPARAISON ET TRANSMISSION DES DONNÉES À DES FINS RÉPRESSIVES

Article 19

Procédure de comparaison des données dactyloscopiques avec les données d'Eurodac

1.   Aux fins prévues à l'article 1er, paragraphe 2, les autorités désignées visées à l'article 5, paragraphe 1, et à l'article 7, paragraphe 2, peuvent présenter à l'autorité chargée de la vérification une demande électronique motivée de comparaison de données dactyloscopiques, comme prévu à l'article 20, paragraphe 1, avec le numéro de référence qu'elles lui ont attribué, qui sera transmise au système central par l'intermédiaire du point d'accès national. Lorsqu'elle reçoit une telle demande, l'autorité chargée de la vérification vérifie si toutes les conditions requises pour demander une comparaison, définies, selon le cas, à l'article 20 ou à l'article 21, sont remplies.

2.   Si toutes les conditions requises pour demander une comparaison visée à l'article 20 ou à l'article 21 sont remplies, l'autorité chargée de la vérification transmet la demande de comparaison au point d'accès national, qui la communique au système central conformément à l'article 9, paragraphes 3 et 5, aux fins de la comparaison avec les données transmises au système central en vertu de l'article 9, paragraphe 1, et de l'article 14, paragraphe 2.

3.   Dans des cas d'urgence exceptionnels qui nécessitent de prévenir un danger imminent lié à une infraction terroriste ou à toute autre infraction pénale grave, l'autorité chargée de la vérification peut transmettre les données dactyloscopiques au point d'accès national pour comparaison immédiate dès réception d'une demande adressée par une autorité désignée et ne vérifier qu'a posteriori si toutes les conditions requises pour demander une comparaison visée à l'article 20 ou à l'article 21 sont remplies, et notamment s'il s'agit effectivement d'un cas d'urgence exceptionnel. Cette vérification a posteriori est effectuée sans retard indu après le traitement de la demande.

4.   S'il est établi, lors d'une vérification a posteriori, que l'accès aux données d'Eurodac était injustifié, toutes les autorités qui ont eu accès à ces données effacent les informations provenant d'Eurodac et elles informent l'autorité chargée de la vérification de cet effacement.

Article 20

Conditions d'accès à Eurodac par les autorités désignées

1.   Aux fins prévues à l'article 1er, paragraphe 2, les autorités désignées ne peuvent présenter une demande électronique motivée de comparaison de données dactyloscopiques avec les données conservées dans le système central dans les limites de leurs compétences que si la comparaison dans les bases de données suivantes n'a pas permis de déterminer l'identité de la personne concernée:

les bases de données dactyloscopiques nationales,

les systèmes automatisés d'identification dactyloscopique de tous les autres États membres au titre de la décision 2008/615/JAI, si les comparaisons sont disponibles techniquement, à moins qu'il n'existe des motifs raisonnables de croire qu'une comparaison avec ces systèmes ne permettrait pas de déterminer l'identité de la personne concernée. Ces motifs raisonnables figurent dans la demande électronique motivée de comparaison avec les données d'Eurodac adressée par l'autorité désignée à l'autorité de vérification, et

le système d'information sur les visas, pour autant que les conditions d'une telle comparaison prévues dans la décision 2008/633/JAI soient réunies;

et aux conditions cumulatives suivantes:

a)

la comparaison est nécessaire aux fins de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves, et des enquêtes en la matière, en ce sens qu'il existe un intérêt supérieur de sécurité publique qui rend la consultation de la base de données proportionnée;

b)

la comparaison est nécessaire dans un cas précis (c'est-à-dire des comparaisons systématiques ne peuvent être effectuées); et

c)

il existe des motifs raisonnables de penser que la comparaison contribuera de manière significative à la prévention ou à la détection de l'une des infractions pénales en question ou aux enquêtes en la matière. De tels motifs raisonnables existent en particulier lorsqu'il existe des motifs de soupçonner que le suspect, l'auteur ou la victime d'une infraction terroriste ou d'une autre infraction pénale grave relève d'une catégorie couverte par le présent règlement.

2.   Les demandes de comparaison avec les données d'Eurodac se limitent à la consultation des données dactyloscopiques.

Article 21

Conditions d'accès à Eurodac par Europol

1.   Aux fins prévues à l'article 1er, paragraphe 2, l'autorité désignée d'Europol ne peut présenter une demande électronique motivée de comparaison de données dactyloscopiques avec les données conservées dans le système central, dans les limites du mandat d'Europol et si la comparaison est nécessaire pour l'accomplissement des tâches d'Europol, que si les comparaisons avec les données dactyloscopiques conservées dans tous les systèmes de traitement d'informations qui sont, techniquement et légalement, accessibles à Europol, n'ont pas permis de déterminer l'identité de la personne concernée et aux conditions cumulatives suivantes:

a)

la comparaison est nécessaire afin de soutenir et renforcer l'action des États membres en vue de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves, ou des enquêtes en la matière qui relèvent du mandat d'Europol, en ce sens qu'il existe un intérêt supérieur de sécurité publique qui rend la consultation de la base de données proportionnée;

b)

la comparaison est nécessaire dans un cas précis (c'est-à-dire des comparaisons systématiques ne peuvent être effectuées); et

c)

il existe des motifs raisonnables de penser que la comparaison contribuera de manière significative à la prévention ou à la détection de l'une des infractions pénales en question et aux enquêtes en la matière. De tels motifs raisonnables existent en particulier lorsqu'il y a des motifs de soupçonner que le suspect, l'auteur ou la victime d'une infraction terroriste ou d'une autre infraction pénale grave relève d'une catégorie couverte par le présent règlement.

2.   Les demandes de comparaison avec les données d'Eurodac se limitent à des comparaisons avec des données dactyloscopiques.

3.   Les informations obtenues par Europol à la suite de la comparaison avec les données d'Eurodac ne peuvent être traitées qu'avec l'autorisation de l'État membre d'origine. Cette autorisation est obtenue par l'intermédiaire de l'unité nationale d'Europol dans cet État membre.

Article 22

Communication entre les autorités désignées, les autorités chargées de la vérification et les points d'accès nationaux

1.   Sans préjudice de l'article 26, toutes les communications entre les autorités désignées, les autorités chargées de la vérification et les points d'accès nationaux sont sécurisées et ont lieu par voie électronique.

2.   Aux fins prévues à l'article 1er, paragraphe 2, les empreintes digitales sont numérisées par les États membres et transmises dans le format de données visé à l'annexe I afin que la comparaison puisse être effectuée au moyen du système informatisé de reconnaissance des empreintes digitales.

CHAPITRE VII

TRAITEMENT DES DONNÉES, PROTECTION DES DONNÉES ET RESPONSABILITÉ

Article 23

Responsabilité en matière de traitement des données

1.   Il incombe à l'État membre d'origine d'assurer:

a)

que les empreintes digitales sont relevées dans le respect de la légalité;

b)

que les données dactyloscopiques de même que les autres données visées à l'article 11, à l'article 14, paragraphe 2, et à l'article 17, paragraphe 2, sont transmises au système central dans le respect de la légalité;

c)

que les données sont exactes et à jour lors de leur transmission au système central;

d)

sans préjudice des responsabilités de l'agence, que les données sont enregistrées, conservées, rectifiées et effacées dans le système central dans le respect de la légalité;

e)

que les résultats de la comparaison des données dactyloscopiques transmis par le système central sont traités dans le respect de la légalité.

2.   Conformément à l'article 34, l'État membre d'origine assure la sécurité des données visées au paragraphe 1 avant et pendant leur transmission au système central ainsi que la sécurité des données qu'il reçoit du système central.

3.   L'État membre d'origine répond de l'identification définitive des données, en vertu de l'article 25, paragraphe 4.

4.   L'agence veille à ce que le système central soit géré conformément aux dispositions du présent règlement. En particulier, l'agence:

a)

adopte des mesures propres à garantir que les personnes travaillant avec le système central ne traitent les données qui y sont enregistrées qu'à des fins conformes à l'objet d'Eurodac, tel que défini à l'article 1er;

b)

prend les mesures nécessaires pour assurer la sécurité du système central conformément à l'article 34;

c)

veille à ce que seules les personnes autorisées à travailler avec le système central y aient accès, sans préjudice des compétences du Contrôleur européen de la protection des données.

L'agence informe le Parlement européen et le Conseil ainsi que le Contrôleur européen de la protection des données des mesures qu'elle prend en vertu du premier alinéa.

Article 24

Transmission

1.   La numérisation des empreintes digitales et leur transmission s'effectuent dans le format pour les données visé à l'annexe I. Dans la mesure où cela est nécessaire au bon fonctionnement du système central, l'agence fixe les exigences techniques pour la transmission du format pour les données par les États membres au système central et inversement. L'agence s'assure que les données dactyloscopiques transmises par les États membres se prêtent à une comparaison dans le système informatisé de reconnaissance des empreintes digitales.

2.   Les États membres transmettent les données visées à l'article 11, à l'article 14, paragraphe 2, et à l'article 17, paragraphe 2, par voie électronique. Les données visées à l'article 11 et à l'article 14, paragraphe 2, sont enregistrées automatiquement dans le système central. Dans la mesure où cela est nécessaire au bon fonctionnement du système central, l'agence fixe les exigences techniques nécessaires pour que les données puissent être correctement transmises par voie électronique des États membres au système central et inversement.

3.   Le numéro de référence visé à l'article 11, point d), à l'article 14, paragraphe 2, point d), à l'article 17, paragraphe 1, et à l'article 19, paragraphe 1, permet de rattacher sans équivoque des données à une personne spécifique et à l'État membre qui transmet les données. Il doit, en outre, permettre de savoir si les données concernent une personne visée à l'article 9, à l'article 14, paragraphe 1 ou à l'article 17, paragraphe 1.

4.   Le numéro de référence commence par la lettre ou les lettres d'identification prévues dans la norme visée à l'annexe I, qui désigne l'État membre qui a transmis les données. La lettre ou les lettres d'identification sont suivies du code indiquant la catégorie de personnes ou de demandes. "1" renvoie aux données concernant les personnes visées à l'article 9, paragraphe 1, "2" aux personnes visées à l'article 14, paragraphe 1, "3" aux personnes visées à l'article 17, paragraphe 1, "4" aux demandes visées à l'article 20, "5" aux demandes visées à l'article 21 et "9" aux demandes visées à l'article 29.

5.   L'agence établit les procédures techniques nécessaires pour permettre aux États membres de faire en sorte que les données reçues par le système central ne comportent aucune ambiguïté.

6   Le système central confirme dès que possible la réception des données transmises. À cette fin, l'agence fixe les exigences techniques nécessaires pour faire en sorte que les États membres reçoivent un récépissé s'ils en ont fait la demande.

Article 25

Exécution de la comparaison et transmission des résultats

1.   Les États membres assurent la transmission de données dactyloscopiques d'une qualité appropriée aux fins d'une comparaison par le système informatisé de reconnaissance des empreintes digitales. Dans la mesure où cela est nécessaire pour garantir un degré d'exactitude très élevé des résultats de la comparaison effectuée par le système central, l'agence définit ce qui, pour les données dactyloscopiques transmises, constitue le niveau de qualité approprié. Le système central vérifie dès que possible la qualité des données dactyloscopiques transmises. Si les données dactyloscopiques ne se prêtent pas à des comparaisons au moyen du système informatisé de reconnaissance des empreintes digitales, le système central en informe l'État membre concerné. Ledit État membre transmet alors des données dactyloscopiques d'une qualité appropriée en utilisant le même numéro de référence que pour le précédent ensemble de données dactyloscopiques.

2.   Le système central procède aux comparaisons en suivant l'ordre dans lequel les demandes lui parviennent. Chaque demande est traitée dans les 24 heures. Un État membre peut demander, pour des motifs relevant de son droit national, que des comparaisons particulièrement urgentes soient effectuées dans l'heure. Si ces délais ne peuvent être respectés pour des raisons qui échappent à la responsabilité de l'agence, le système central traite en priorité les demandes dès que ces raisons ont disparu. En pareil cas, dans la mesure où cela est nécessaire pour le bon fonctionnement du système central, l'agence établit des critères en vue de garantir le traitement prioritaire des demandes.

3.   Dans la mesure où cela est nécessaire pour le bon fonctionnement du système central, l'agence établit les procédures opérationnelles en ce qui concerne le traitement des données reçues et la transmission du résultat de la comparaison.

4.   Le résultat de la comparaison est immédiatement vérifié dans l'État membre de réception par un expert en empreintes digitales au sens de ses règles nationales, qui est spécialement formé pour effectuer les types de comparaison d'empreintes digitales prévus dans le présent règlement. Aux fins prévues à l'article 1er, paragraphe 1, du présent règlement, l'identification définitive est effectuée par l'État membre d'origine en coopération avec les autres États membres concernés, en vertu de l'article 34 du règlement (UE) no 604/2013.

Les informations reçues du système central relatives aux autres données qui se sont révélées non fiables sont effacées, dès que l'absence de fiabilité des données est établie.

5.   Lorsque l'identification définitive conformément au paragraphe 4 révèle que le résultat de la comparaison reçu du système central ne correspond pas aux données dactyloscopiques envoyées pour comparaison, les États membres effacent immédiatement le résultat de la comparaison et en informent la Commission et l'agence dès que possible et au plus tard après trois jours ouvrables.

Article 26

Communication entre les États membres et le système central

Les données transmises des États membres vers le système central et inversement utilisent l'infrastructure de communication. Dans la mesure où cela est nécessaire pour le bon fonctionnement du système central, l'agence établit les procédures techniques nécessaires à l'utilisation de l'infrastructure de communication.

Article 27

Accès aux données enregistrées dans Eurodac, rectification ou effacement de ces données

1.   L'État membre d'origine a accès aux données qu'il a transmises et qui sont enregistrées dans le système central conformément au présent règlement.

Aucun État membre ne peut effectuer des recherches dans les données transmises par un autre État membre, ni recevoir de telles données, excepté celles qui résultent de la comparaison visée à l'article 9, paragraphe 5.

2.   Les autorités des États membres ayant accès, en vertu du paragraphe 1 du présent article, aux données enregistrées dans le système central sont celles qui ont été désignées par chaque État membre aux fins prévues à l'article 1er, paragraphe 1. Cette désignation précise l'unité chargée d'accomplir les fonctions liées à l'application du présent règlement. Chaque État membre communique sans tarder, à la Commission et à l'agence, la liste de ces unités ainsi que toute modification apportée à celle-ci. L'agence publie la liste consolidée au Journal officiel de l'Union européenne. Si des modifications sont apportées à celle-ci, l'agence publie une fois par an une liste en ligne, consolidée et actualisée.

3.   L'État membre d'origine est seul habilité à modifier, en les rectifiant ou en les complétant, les données qu'il a transmises au système central, ou à les effacer, sans préjudice de l'effacement opéré en vertu de l'article 12, paragraphe 2, ou de l'article 16, paragraphe 1.

4.   Si un État membre ou l'agence dispose d'indices suggérant que des données enregistrées dans le système central sont matériellement erronées, il/elle en avise dès que possible l'État membre d'origine.

Si un État membre dispose d'indices suggérant que des données ont été enregistrées dans le système central en violation du présent règlement, il en avise, dès que possible, l'agence, la Commission et l'État membre d'origine. L'État membre d'origine vérifie les données en question et, au besoin, les modifie ou les efface sans tarder.

5.   L'agence ne transfère pas aux autorités d'un pays tiers, ni ne met à leur disposition des données enregistrées dans le système central. Cette interdiction ne s'applique pas aux transferts de données vers des pays tiers pour lesquels le règlement (UE) no 604/2013 s'applique.

Article 28

Conservation des enregistrements

1.   L'agence établit des relevés de toutes les opérations de traitement des données effectuées au sein du système central. Ces relevés indiquent l'objet, le jour et l'heure de l'accès, les données transmises, les données utilisées à des fins d'interrogation et la dénomination du service qui a saisi ou extrait les données ainsi que le nom des personnes responsables.

2.   Les relevés visés au paragraphe 1 du présent article ne peuvent être utilisés que pour le contrôle de la licéité du traitement des données au regard de la protection des données, ainsi que pour garantir la sécurité des données conformément à l'article 34. Ils doivent être protégés par des mesures appropriées contre tout accès non autorisé et effacés au bout d'un an après l'expiration de la durée de conservation visée à l'article 12, paragraphe 1, et à l'article 16, paragraphe 1, à moins qu'ils soient nécessaires à des procédures de contrôle déjà engagées.

3.   Aux fins prévues à l'article 1er, paragraphe 1, chaque État membre prend les mesures nécessaires à la réalisation des objectifs fixés aux paragraphes 1 et 2 du présent article en ce qui concerne son système national. En outre, chaque État membre consigne l'identité des membres du personnel dûment autorisés à saisir ou à extraire les données.

Article 29

Droits des personnes concernées

1.   Toute personne relevant de l'article 9, paragraphe 1, de l'article 14, paragraphe 1, ou de l'article 17, paragraphe 1, est informée par l'État membre d'origine par écrit et, si nécessaire, oralement, dans une langue qu'elle comprend ou dont on peut raisonnablement supposer qu'elle la comprend:

a)

de l'identité du responsable du traitement au sens de l'article 2, point d), de la directive 95/46/CE, et de son représentant, le cas échéant;

b)

de la raison pour laquelle ses données vont être traitées par Eurodac, y compris une description des objectifs du règlement (UE) no 604/2013, conformément à l'article 4 dudit règlement, et des explications, sous une forme intelligible, dans un langage clair et simple, quant au fait que les États membres et Europol peuvent avoir accès à Eurodac à des fins répressives;

c)

des destinataires des données;

d)

dans le cas des personnes relevant de l'article 9, paragraphe 1, ou de l'article 14, paragraphe 1, de l'obligation d'accepter que ses empreintes digitales soient relevées;

e)

de son droit d'accéder aux données la concernant et de demander que des données inexactes la concernant soient rectifiées ou que des données la concernant qui ont fait l'objet d'un traitement illicite soient effacées, ainsi que du droit d'être informée des procédures à suivre pour exercer ces droits, y compris les coordonnées du responsable du traitement et des autorités nationales de contrôle visées à l'article 30, paragraphe 1.

2.   Dans le cas de personnes relevant de l'article 9, paragraphe 1, ou de l'article 14, paragraphe 1, les informations visées au paragraphe 1 du présent article sont fournies au moment où les empreintes digitales de la personne concernée sont relevées.

Dans le cas de personnes relevant de l'article 17, paragraphe 1, les informations visées au paragraphe 1 du présent article sont fournies au plus tard au moment où les données concernant cette personne sont transmises au système central. Cette obligation ne s'applique pas lorsqu'il s'avère impossible de fournir ces informations ou que cela nécessite des efforts disproportionnés.

Lorsqu'une personne qui relève de l'article 9, paragraphe 1, de l'article 14, paragraphe 1, et de l'article 17, paragraphe 1, est mineure, les États membres lui communiquent ces informations d'une manière adaptée à son âge.

3.   Une brochure commune, dans laquelle figurent au moins les informations visées au paragraphe 1 du présent article et celles visées à l'article 4, paragraphe 1, du règlement (UE) no 604/2013 est réalisée conformément à la procédure visée à l'article 44, paragraphe 2, dudit règlement.

La brochure est rédigée d'une manière claire et simple, et dans une langue que la personne concernée comprend ou dont on peut raisonnablement supposer qu'elle la comprend.

La brochure commune est réalisée de telle manière que les États membres peuvent y ajouter des informations spécifiques aux États membres. Ces informations spécifiques aux États membres portent au moins sur les droits de la personne concernée, sur la possibilité d'une assistance de la part des autorités nationales de contrôle, ainsi que sur les coordonnées des services du responsable du traitement et des autorités nationales de contrôle.

4.   Aux fins prévues à l'article 1er, paragraphe 1, du présent règlement, dans chaque État membre, toute personne concernée peut, conformément aux lois, réglementations et procédures de cet État, exercer les droits prévus à l'article 12 de la directive 95/46/CE.

Sans préjudice de l'obligation de fournir d'autres informations conformément à l'article 12, point a), de la directive 95/46/CE, la personne concernée a le droit d'obtenir communication des données la concernant qui sont enregistrées dans le système central ainsi que de l'identité de l'État membre qui les a transmises au système central. Cet accès aux données ne peut être accordé que par un État membre.

5.   Aux fins prévues à l'article 1er, paragraphe 1, dans chaque État membre, toute personne peut demander que les données qui sont matériellement erronées soient rectifiées ou que les données enregistrées de façon illicite soient effacées. La rectification et l'effacement sont effectués sans retard excessif par l'État membre qui a transmis les données, conformément à ses lois, réglementations et procédures.

6.   Aux fins prévues à l'article 1er, paragraphe 1, si les droits de rectification et d'effacement sont exercés dans un autre État membre que celui ou ceux qui ont transmis les données, les autorités de cet État membre prennent contact avec les autorités de l'État membre ou des États membres qui ont transmis les données afin que celles-ci vérifient l'exactitude des données et la licéité de leur transmission et de leur enregistrement dans le système central.

7.   Aux fins prévues à l'article 1er, paragraphe 1, s'il apparaît que des données enregistrées dans le système central sont matériellement erronées ou y ont été enregistrées de façon illicite, l'État membre qui les a transmises les rectifie ou les efface conformément à l'article 27, paragraphe 3. Cet État membre confirme par écrit et sans délai excessif à la personne concernée qu'il a procédé à la rectification ou à l'effacement de données la concernant.

8.   Aux fins prévues à l'article 1er, paragraphe 1, si l'État membre qui a transmis les données n'estime pas que les données enregistrées dans le système central sont matériellement erronées ou y ont été enregistrées de façon illicite, il indique par écrit et sans délai excessif à la personne concernée les raisons pour lesquelles il n'est pas disposé à rectifier ou effacer les données.

Cet État membre fournit également à la personne concernée des précisions quant aux mesures qu'elle peut prendre si elle n'accepte pas l'explication proposée. Cela comprend des informations sur la manière de former un recours ou, s'il y a lieu, de déposer une plainte devant les autorités compétentes ou les juridictions de cet État membre, ainsi que sur toute aide, financière ou autre, dont la personne concernée peut disposer en vertu des lois, réglementations et procédures de cet État membre.

9.   Toute demande présentée au titre des paragraphes 4 et 5 comporte tous les éléments nécessaires à l'identification de la personne concernée, y compris les empreintes digitales. Ces données ne sont utilisées que pour permettre l'exercice des droits visés aux paragraphes 4 et 5 et sont ensuite immédiatement effacées.

10.   Les autorités compétentes des États membres collaborent activement afin que les droits prévus aux paragraphes 5, 6 et 7 soient exécutés sans tarder.

11.   Lorsqu'une personne demande la communication de données la concernant en vertu du paragraphe 4, l'autorité compétente consigne la présentation de cette demande et son traitement dans un document écrit et transmet ce document sans tarder aux autorités nationales de contrôle.

12.   Aux fins prévues à l'article 1er, paragraphe 1, du présent règlement, dans chaque État membre, l'autorité nationale de contrôle assiste la personne concernée dans l'exercice de ses droits, sur la base de la demande présentée par celle-ci, conformément à l'article 28, paragraphe 4, de la directive 95/46/CE.

13.   Aux fins prévues à l'article 1er, paragraphe 1, du présent règlement, l'autorité nationale de contrôle de l'État membre qui a transmis les données et l'autorité nationale de contrôle de l'État membre dans lequel se trouve la personne concernée assistent cette dernière et, si elle le demande, la conseillent dans l'exercice de son droit à faire rectifier ou effacer les données. Les deux autorités nationales de contrôle coopèrent à cette fin. Les demandes d'assistance peuvent être adressées à l'autorité nationale de contrôle de l'État membre dans lequel se trouve la personne concernée, qui les communique à l'autorité de l'État membre qui a transmis les données.

14.   Dans chaque État membre, toute personne peut, conformément aux lois, réglementations et procédures de cet État, former un recours ou, s'il y a lieu, déposer une plainte devant les autorités compétentes ou les juridictions de cet État si le droit d'accès prévu au paragraphe 4 lui est refusé.

15.   Toute personne peut, conformément aux lois, réglementations et procédures de l'État membre qui a transmis les données, former un recours ou, s'il y a lieu, déposer une plainte devant les autorités compétentes ou les juridictions de cet État, au sujet des données la concernant qui sont enregistrées dans le système central, afin d'exercer ses droits conformément au paragraphe 5. L'obligation, pour les autorités nationales de contrôle, d'assister et, si elle le demande, de conseiller la personne concernée conformément au paragraphe 13, subsiste pendant toute la durée de cette procédure.

Article 30

Contrôle par l'autorité nationale de contrôle

1.   Aux fins prévues à l'article 1er, paragraphe 1, du présent règlement, chaque État membre veille à ce que l'autorité ou les autorités nationales de contrôle, désignées en vertu de l'article 28, paragraphe 1, de la directive 95/46/CE, contrôlent, en toute indépendance et dans le respect de leurs législations nationales respectives, la licéité du traitement des données à caractère personnel, y compris de leur transmission au système central, effectué par l'État membre en question, conformément au présent règlement.

2.   Chaque État membre s'assure que son autorité nationale de contrôle peut bénéficier des conseils de personnes ayant une connaissance suffisante des données dactyloscopiques.

Article 31

Contrôle par le Contrôleur européen de la protection des données

1.   Le Contrôleur européen de la protection des données veille à ce que toutes les activités de traitement des données à caractère personnel dans le cadre d'Eurodac, notamment par l'agence, soient exercées conformément au règlement (CE) no 45/2001 et au présent règlement.

2.   Le Contrôleur européen de la protection des données veille à ce que soit réalisé, tous les trois ans au minimum, un audit des activités de traitement des données à caractère personnel exercées par l'agence, répondant aux normes internationales d'audit. Un rapport d'audit est communiqué au Parlement européen, au Conseil, à la Commission, à l'agence et aux autorités nationales de contrôle. L'agence a la possibilité de formuler des observations avant l'adoption du rapport.

Article 32

Coopération entre les autorités nationales de contrôle et le Contrôleur européen de la protection des données

1.   Les autorités nationales de contrôle et le Contrôleur européen de la protection des données, agissant chacun dans les limites de leurs compétences respectives, coopèrent activement dans le cadre de leurs responsabilités et assurent le contrôle conjoint d'Eurodac.

2.   Les États membres veillent à ce que, conformément à l'article 33, paragraphe 2, un organisme indépendant réalise chaque année un audit du traitement des données à caractère personnel aux fins prévues à l'article 1er, paragraphe 2, y compris une analyse d'un échantillon des demandes électroniques motivées.

Cet audit est joint au rapport annuel des États membres visé à l'article 40, paragraphe 7.

3.   Les autorités nationales de contrôle et le Contrôleur européen de la protection des données, agissant chacun dans les limites de leurs compétences respectives, échangent les informations utiles, s'assistent mutuellement dans la conduite d'audits et d'inspections, examinent les difficultés d'interprétation ou d'application du présent règlement, étudient les problèmes pouvant se poser lors de l'exercice du contrôle indépendant ou dans l'exercice des droits des personnes concernées, formulent des propositions harmonisées de solutions communes aux éventuels problèmes et assurent une sensibilisation aux droits en matière de protection des données, si nécessaire.

4.   Aux fins prévues au paragraphe 3, les autorités nationales de contrôle et le Contrôleur européen de la protection des données se réunissent au minimum deux fois par an. Le coût et l'organisation de ces réunions sont à la charge du Contrôleur européen de la protection des données. Le règlement intérieur est adopté lors de la première réunion. D'autres méthodes de travail sont mises au point d'un commun accord, selon les besoins. Un rapport d'activités conjoint est transmis tous les deux ans au Parlement européen, au Conseil, à la Commission et à l'agence.

Article 33

Protection des données à caractère personnel à des fins répressives

1.   Chaque État membre veille à ce que les dispositions qu'il a adoptées en droit national pour mettre en œuvre la décision-cadre 2008/977/JAI s'appliquent aussi au traitement par les autorités nationales de données à caractère personnel aux fins prévues à l'article 1er, paragraphe 2, du présent règlement.

2.   Les autorités nationales de contrôle désignées en vertu de la décision-cadre 2008/977/JAI contrôlent la licéité du traitement de données à caractère personnel effectué par les États membres au titre du présent règlement, aux fins prévues à l'article 1er, paragraphe 2, du présent règlement, y compris leur transmission en provenance et à destination d'Eurodac.

3.   Les traitements de données à caractère personnel réalisés par Europol en vertu du présent règlement sont conformes à la décision 2009/371/JAI et sont contrôlés par un contrôleur de la protection des données, indépendant et externe. Les articles 30, 31 et 32 de ladite décision s'appliquent au traitement de données à caractère personnel par Europol en vertu du présent règlement. Le contrôleur de la protection des données, indépendant et externe, garantit qu'il n'est pas porté atteinte aux droits des personnes.

4.   Les données à caractère personnel obtenues d'Eurodac en vertu du présent règlement aux fins prévues à l'article 1er, paragraphe 2, ne sont traitées qu'aux fins de la prévention, ou de la détection du cas spécifique pour lequel les données ont été demandées par un État membre ou par Europol, ou aux fins de l'enquête sur ce cas.

5.   Le système central, les autorités désignées et les autorités chargées de la vérification, ainsi qu'Europol établissent des relevés des recherches effectuées afin de permettre aux autorités nationales chargées de la protection des données et au Contrôleur européen de la protection des données de contrôler que le traitement des données respecte les règles de l'Union en matière de protection des données, y compris dans le but de conserver des dossiers permettant de rédiger les rapports annuels visés à l'article 40, paragraphe 7. Si les fins poursuivies sont autres que ces objectifs, les données à caractère personnel ainsi que les relevés des recherches sont effacés de tous les dossiers nationaux et de ceux d'Europol après un mois, à moins que ces données ne soient nécessaires aux fins de l'enquête pénale en cours sur le cas d'espèce, pour laquelle elles avaient été demandées par un État membre ou par Europol.

Article 34

Sécurité des données

1.   L'État membre d'origine assure la sécurité des données avant et pendant leur transmission au système central.

2.   Chaque État membre adopte, pour toutes les données traitées par ses autorités compétentes en vertu du présent règlement, les mesures nécessaires, y compris un plan de sécurité, pour:

a)

assurer la protection physique des données, notamment en élaborant des plans d'urgence pour la protection des infrastructures critiques;

b)

empêcher l'accès de toute personne non autorisée aux installations nationales dans lesquelles l'État membre mène des opérations conformément à l'objet d'Eurodac (contrôle à l'entrée de l'installation);

c)

empêcher toute lecture, copie ou modification ou tout retrait non autorisé de supports de données (contrôle des supports de données);

d)

empêcher la saisie non autorisée de données, ainsi que tout examen, toute modification ou tout effacement non autorisé de données à caractère personnel conservées dans Eurodac (contrôle de la conservation);

e)

empêcher le traitement non autorisé de données dans Eurodac ainsi que toute modification ou tout effacement non autorisé de données traitées dans Eurodac (contrôle de la saisie des données);

f)

veiller à ce que les personnes autorisées à avoir accès à Eurodac n'aient accès qu'aux données pour lesquelles l'autorisation a été accordée, l'accès n'étant possible qu'avec un code d'identification individuel et unique et par un mode d'accès confidentiel (contrôle de l'accès aux données);

g)

veiller à ce que toutes les autorités ayant un droit d'accès à Eurodac créent des profils précisant les fonctions et responsabilités des personnes autorisées à avoir accès aux données, à les saisir, à les actualiser, à les effacer et à effectuer des recherches dans les données, et à ce que ces profils, ainsi que toute autre information utile que ces autorités peuvent demander à des fins de contrôle, soient mises sans tarder à la disposition des autorités nationales de contrôle visées à l'article 28 de la directive 95/46/CE et à l'article 25 de la décision-cadre 2008/977/JAI, à la demande de celles-ci (profils personnels);

h)

garantir qu'il soit possible de vérifier et de déterminer à quelles autorités les données à caractère personnel peuvent être transmises au moyen de matériel de transmission de données (contrôle de la transmission);

i)

garantir qu'il soit possible de vérifier et de déterminer quelles données ont été traitées dans Eurodac, à quel moment, par qui et dans quel but (contrôle de l'enregistrement des données);

j)

empêcher toute lecture, copie ou modification ou tout effacement non autorisé de données à caractère personnel pendant la transmission de ces données en provenance ou à destination d'Eurodac ou pendant le transport de supports de données, en particulier grâce à des techniques de cryptage adaptées (contrôle du transport);

k)

contrôler l'efficacité des mesures de sécurité visées au présent paragraphe et prendre les mesures d'organisation en matière de contrôle interne qui sont nécessaires pour garantir le respect du présent règlement (autocontrôle) et pour détecter automatiquement, dans un délai de 24 heures, tous les événements significatifs survenant dans l'application des mesures énumérées aux points b) à j) qui peuvent signaler un incident de sécurité.

3.   Les États membres informent l'agence des incidents de sécurité détectés dans leurs systèmes. L'agence informe les États membres, Europol et le Contrôleur européen de la protection des données en cas d'incidents de sécurité. Les États membres concernés, l'agence et Europol collaborent en cas d'incident de sécurité.

4.   L'agence prend les mesures nécessaires à la réalisation des objectifs fixés au paragraphe 2 en ce qui concerne le fonctionnement d'Eurodac, y compris l'adoption d'un plan de sécurité.

Article 35

Interdiction de transférer des données à des pays tiers, à des organisations internationales ou à des entités de droit privé

1.   Les données à caractère personnel provenant du système central et transmises à un État membre ou à Europol en vertu du présent règlement ne peuvent être communiquées à un pays tiers, à une organisation internationale ou à une entité de droit privé établie ou non dans l'Union ni mises à leur disposition. Cette interdiction s'applique aussi si ces données font l'objet d'un traitement ultérieur à l'échelon national, ou entre États membres, au sens de l'article 2, point b), de la décision-cadre 2008/977/JAI.

2.   Les données à caractère personnel qui ont leur origine dans un État membre et sont communiquées entre États membres à la suite d'un résultat positif obtenu aux fins prévues à l'article 1er, paragraphe 2, ne sont pas transmises à des pays tiers s'il existe un risque grave qu'en raison d'un tel transfert, la personne concernée puisse être soumise à la torture ou à un autre traitement inhumain et dégradant, à un châtiment ou à toute autre violation de ses droits fondamentaux.

3.   Les interdictions visées aux paragraphes 1 et 2 ne portent pas atteinte au droit des États membres de transférer ces données à des pays tiers auxquels le règlement (UE) no 604/2013 s'applique.

Article 36

Registre et traces documentaires

1.   Chaque État membre et Europol veillent à ce que toutes les opérations de traitement de données résultant de demandes de comparaison avec les données d'Eurodac aux fins prévues à l'article 1er, paragraphe 2, soient consignées dans un registre ou attestées par des documents, de manière à pouvoir contrôler la recevabilité de la demande, la licéité du traitement des données et l'intégrité et la sécurité des données, et l'autocontrôle.

2.   Le registre ou les traces documentaires mentionnent systématiquement:

a)

l'objet précis de la demande de comparaison, notamment la nature de l'infraction terroriste ou de l'autre infraction pénale grave en question et, dans le cas d'Europol, l'objet précis de la demande de comparaison;

b)

les motifs raisonnables, conformément à l'article 20, paragraphe 1, du présent règlement, pour ne pas effectuer de comparaisons avec d'autres États membres au titre de la décision 2008/615/JAI;

c)

la référence du fichier national;

d)

la date et l'heure exacte de la demande de comparaison adressée au système central par le point d'accès national;

e)

le nom de l'autorité qui a demandé l'accès en vue d'une comparaison et la personne responsable qui a présenté la demande et traité les données;

f)

le cas échéant, le recours à la procédure d'urgence visée à l'article 19, paragraphe 3, et la décision prise en ce qui concerne la vérification a posteriori;

g)

les données utilisées pour la comparaison;

h)

conformément aux dispositions nationales ou à la décision 2009/371/JAI, les données d'identification de l'agent qui a effectué la recherche et celles de l'agent qui a ordonné la recherche ou la transmission.

3.   Les registres et les traces documentaires ne sont utilisés que pour contrôler la licéité du traitement des données et pour garantir l'intégrité et la sécurité de celles-ci. Seuls les registres contenant des données à caractère non personnel peuvent être utilisés aux fins du suivi et de l'évaluation visés à l'article 40. Les autorités nationales de contrôle compétentes chargées de vérifier la recevabilité de la demande et de contrôler la licéité du traitement des données ainsi que l'intégrité et la sécurité des données se voient octroyer l'accès à ces registres à leur demande aux fins de l'accomplissement des tâches qui leur incombent.

Article 37

Responsabilité

1.   Toute personne ou tout État membre ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'obtenir de l'État membre responsable réparation du préjudice subi. Cet État est exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait dommageable ne lui est pas imputable.

2.   Si le non-respect, par un État membre, des obligations qui lui incombent au titre du présent règlement entraîne un dommage pour le système central, cet État membre en est tenu responsable, sauf si et dans la mesure où l'agence ou un autre État membre n'a pas pris de mesures raisonnables pour empêcher le dommage de survenir ou pour en atténuer l'effet.

3.   Les actions en réparation intentées contre un État membre pour les dommages visés aux paragraphes 1 et 2 sont régies par les dispositions du droit national de l'État membre défendeur.

CHAPITRE VIII

MODIFICATIONS DU RÈGLEMENT (UE) No 1077/2011

Article 38

Modifications du règlement (UE) no 1077/2011

Le règlement (UE) no 1077/2011 est modifié comme suit:

1)

L'article 5 est remplacé par le texte suivant:

"Article 5

Tâches liées à Eurodac

En ce qui concerne Eurodac, l'agence s'acquitte:

a)

des tâches qui lui sont confiées par le règlement (UE) no 603/2013 du Parlement européen et du Conseil du 26 juin 2013 relatif à la création d'"Eurodac" pour la comparaison des empreintes digitales aux fins de l'application efficace du règlement (UE) no 604/2013 établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale introduite dans l'un des États membres par un ressortissant de pays tiers ou un apatride et relatif aux demandes de comparaison avec les données d'Eurodac présentées par les autorités répressives des États membres et Europol à des fins répressives (17); et

b)

des tâches liées à la formation relative à l'utilisation technique d'Eurodac.

2)

L'article 12, paragraphe 1, est modifié comme suit:

a)

les points u) et v) sont remplacés par le texte suivant:

"u)

adopte le rapport annuel sur les activités du système central d'Eurodac, au titre de l'article 40, paragraphe 1, du règlement (UE) no 603/2013;

v)

formule des observations sur les rapports établis par le Contrôleur européen de la protection des données concernant les audits réalisés au titre de l'article 45, paragraphe 2, du règlement (CE) no 1987/2006, de l'article 42, paragraphe 2, du règlement (CE) no 767/2008 et de l'article 31, paragraphe 2, du règlement (UE) no 603/2013 et veille à ce qu'il soit donné dûment suite à ces audits;";

b)

le point x) est remplacé par le texte suivant:

"x)

établit des statistiques sur les travaux du système central d'Eurodac, au titre de l'article 8, paragraphe 2, du règlement (UE) no 603/2013;";

c)

le point z) est remplacé par le texte suivant:

"z)

veille à la publication annuelle de la liste des unités au titre de l'article 27, paragraphe 2, du règlement (UE) no 603/2013;".

3)

À l'article 15, le paragraphe 4 est remplacé par le texte suivant:

"4.   Europol et Eurojust peuvent assister aux réunions du conseil d'administration en tant qu'observateurs lorsqu'une question concernant le SIS II, liée à l'application de la décision 2007/533/JAI, figure à l'ordre du jour. Europol peut également assister aux réunions du conseil d'administration en tant qu'observateur lorsqu'une question concernant le VIS, liée à l'application de la décision 2008/633/JAI, ou lorsqu'une question concernant Eurodac, liée à l'application du règlement (UE) no 603/2013, est à l'ordre du jour.".

4)

L'article 17 est modifié comme suit:

a)

au paragraphe 5, le point g) est remplacé par le texte suivant:

"g)

sans préjudice de l'article 17 du statut, fixe les exigences de confidentialité à respecter pour se conformer à l'article 17 du règlement (CE) no 1987/2006, à l'article 17 de la décision 2007/533/JAI, à l'article 26, paragraphe 9, du règlement (CE) no 767/2008, ainsi qu'à l'article 4, paragraphe 4, du règlement (UE) no603/2013;";

b)

au paragraphe 6, le point i) est remplacé par le texte suivant:

"i)

les rapports sur le fonctionnement technique de chaque système d'information à grande échelle visés à l'article 12, paragraphe 1, point t), et le rapport annuel sur les activités du système central d'Eurodac visé à l'article 12, paragraphe 1, point u), sur la base des résultats du contrôle et de l'évaluation.".

5)

À l'article 19, le paragraphe 3 est remplacé par le texte suivant:

"3.   Europol et Eurojust peuvent chacun désigner un représentant au sein du groupe consultatif sur le SIS II. Europol peut également désigner un représentant au sein des groupes consultatifs sur le VIS et sur Eurodac.".

CHAPITRE IX

DISPOSITIONS FINALES

Article 39

Coûts

1.   Les coûts afférents à la création et au fonctionnement du système central et de l'infrastructure de communication sont à la charge du budget général de l'Union européenne.

2.   Les coûts afférents aux points d'accès nationaux et les coûts afférents à leur connexion avec le système central sont à la charge de chaque État membre.

3.   Chaque État membre de même qu'Europol mettent en place et gèrent, à leurs propres frais, l'infrastructure technique nécessaire à la mise en œuvre du présent règlement, et prennent en charge les coûts résultant des demandes de comparaison avec les données d'Eurodac aux fins prévues à l'article 1er, paragraphe 2.

Article 40

Rapport annuel: suivi et évaluation

1.   L'agence soumet au Parlement européen, au Conseil, à la Commission et au Contrôleur européen de la protection des données un rapport annuel sur les activités du système central, y compris sur son fonctionnement technique et sa sécurité. Ce rapport comporte des informations sur la gestion et les performances d'Eurodac par rapport à des indicateurs quantitatifs définis au préalable pour les objectifs visés au paragraphe 2.

2.   L'agence veille à ce que des procédures soient mises en place pour suivre le fonctionnement du système central par rapport aux objectifs en matière de résultats, de coût-efficacité et de qualité du service.

3.   Aux fins de la maintenance technique et de l'établissement de rapports et de statistiques, l'agence a accès aux informations nécessaires concernant les opérations de traitement effectuées dans le système central.

4.   Le 20 juillet 2018 au plus tard, et ensuite tous les quatre ans, la Commission rédige un rapport global d'évaluation d'Eurodac qui examine les résultats obtenus par rapport aux objectifs fixés, ainsi que l'impact sur les droits fondamentaux, y compris la question de savoir si l'accès à des fins répressives a conduit à des discriminations indirectes à l'encontre des personnes relevant du présent règlement, et qui détermine si les principes de base restent valables, en tire toutes les conséquences pour les opérations futures et formule toute recommandation utile. La Commission transmet cette évaluation au Parlement européen et au Conseil.

5.   Les États membres communiquent à l'agence et à la Commission les informations nécessaires pour rédiger le rapport annuel visé au paragraphe 1.

6.   L'agence, les États membres et Europol communiquent à la Commission les informations nécessaires pour rédiger le rapport global d'évaluation visé au paragraphe 4. Ces informations ne peuvent porter préjudice aux méthodes de travail ni comprendre des indications sur les sources, les membres du personnel ou les enquêtes des autorités désignées.

7.   Tout en respectant les dispositions du droit national relatives à la publication d'informations sensibles, chaque État membre de même qu'Europol rédigent des rapports annuels sur l'efficacité de la comparaison des données dactyloscopiques avec les données d'Eurodac à des fins répressives; ces rapports contiennent des informations et des statistiques sur:

l'objet précis de la comparaison, notamment la nature de l'infraction terroriste ou de l'infraction pénale grave,

les motifs invoqués pour avoir des doutes raisonnables,

les motifs raisonnables, conformément à l'article 20, paragraphe 1 du présent règlement, pour ne pas effectuer de comparaison avec d'autres États membres au titre de la décision 2008/615/JAI,

le nombre de demandes de comparaison,

le nombre et le type de cas qui ont permis une identification, et

la nécessité de traiter les cas exceptionnels d'urgence, les cas d'urgence effectivement traités, y compris ceux qui n'ont pas été approuvés par l'autorité chargée de la vérification lors de la vérification a posteriori.

Les rapports annuels des États membres et d'Europol sont transmis à la Commission au plus tard le 30 juin de l'année suivante.

8.   Sur la base des rapports annuels des États membres et d'Europol prévus au paragraphe 7 et outre le rapport global d'évaluation prévu au paragraphe 4, la Commission compile un rapport annuel sur l'accès des autorités répressives à Eurodac et transmet ce rapport au Parlement européen, au Conseil et au Contrôleur européen de la protection des données.

Article 41

Sanctions

Les États membres prennent les mesures nécessaires pour que tout traitement des données saisies dans le système central non conforme à l'objet d'Eurodac, tel que défini à l'article 1er, soit passible de sanctions, y compris administratives et/ou pénales conformément au droit national, qui soient effectives, proportionnées et dissuasives.

Article 42

Champ d'application territorial

Les dispositions du présent règlement ne sont applicables à aucun territoire auquel le règlement (UE) no 604/2013 ne s'applique pas.

Article 43

Notification des autorités désignées et des autorités chargées de la vérification

1.   Le 20 octobre 2013 au plus tard, chaque État membre notifie à la Commission ses autorités désignées, les unités opérationnelles visées à l'article 5, paragraphe 3, et son autorité chargée de la vérification, et notifie toute modification à cet égard sans tarder.

2.   Le 20 octobre 2013 au plus tard, Europol notifie à la Commission son autorité désignée, son autorité chargée de la vérification et le point d'accès national qu'il a désigné, et notifie toute modification à cet égard sans tarder.

3.   La Commission publie chaque année les informations visées aux paragraphes 1 et 2 au Journal officiel de l'Union européenne et par voie électronique sur un site disponible en ligne et mis à jour sans tarder.

Article 44

Disposition transitoire

Les données verrouillées dans le système central en application de l'article 12 du règlement (CE) no 2725/2000 sont déverrouillées et reçoivent une marque distinctive conformément à l'article 18, paragraphe 1, du présent règlement, le 20 juillet 2015.

Article 45

Abrogation

Le règlement (CE) no 2725/2000 et le règlement (CE) no 407/2002 sont abrogés avec effet au 20 juillet 2015.

Les références faites aux règlements abrogés s'entendent comme faites au présent règlement et sont à lire selon le tableau de correspondance figurant à l'annexe III.

Article 46

Entrée en vigueur et conditions d'application

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Le présent règlement est applicable à partir du 20 juillet 2015.

Les États membres informent la Commission et l'agence dès qu'ils ont procédé aux aménagements techniques nécessaires pour transmettre des données au système central et, en tout état de cause, au plus tard le 20 juillet 2015.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.

Fait à Bruxelles, 26 juin 2013.

Par le Parlement européen

Le président

M. SCHULZ

Par le Conseil

Le président

A. SHATTER


(1)  JO C 92 du 10.4.2010, p. 1.

(2)  Position du Parlement européen du 12 juin 2013 (non encore parue au Journal officiel) et décision du Conseil du 20 juin 2013.

(3)  JO L 316 du 15.12.2000, p. 1.

(4)  JO L 62 du 5.3.2002, p. 1.

(5)  Voir page 31 du présent Journal officiel.

(6)  JO L 164 du 22.6.2002, p. 3.

(7)  JO L 190 du 18.7.2002, p. 1.

(8)  JO L 121 du 15.5.2009, p. 37.

(9)  JO L 337 du 20.12.2011, p. 9.

(10)  JO L 286 du 1.11.2011, p. 1.

(11)  JO L 56 du 4.3.1968, p. 1.

(12)  JO L 210 du 6.8.2008, p. 1.

(13)  JO L 218 du 13.8.2008, p. 129.

(14)  JO L 281 du 23.11.1995, p. 31.

(15)  JO L 350 du 30.12.2008, p. 60.

(16)  JO L 8 du 12.1.2001, p. 1.

(17)  OJ L 180, 29.6.2013, p. 1."


ANNEXE I

Format pour les données et fiche pour les empreintes digitales

Format pour l'échange des données dactyloscopiques

Le format ci-après est prescrit pour l'échange des données dactyloscopiques:

ANSI/NIST-ITL 1a-1997, Ver.3, juin 2001 (INT-1) ainsi que tous développements futurs de celui-ci.

Norme destinée aux lettres d'identification des États membres

La norme ISO indiquée ci-après sera utilisée: ISO 3166 - code à deux lettres.

Image


ANNEXE II

Règlements abrogés (visés à l'article 45)

Règlement (CE) no 2725/2000 du Conseil

(JO L 316 du 15.12.2000, p. 1)

Règlement (CE) no 407/2002 du Conseil

(JO L 62 du 5.3.2002, p. 1)


ANNEXE III

Tableau de correspondance

Règlement (CE) no 2725/2000

Présent règlement

Article 1er, paragraphe 1

Article 1er, paragraphe 1

Article 1er, paragraphe 2, premier alinéa ponts a) et b)

Article 3, paragraphe 1, point a)

Article 1er, paragraphe 2, premier alinéa, point c)

Article 1er, paragraphe 2, deuxième alinéa

Article 3, paragraphe 4

Article 1er, paragraphe 3

Article 1er, paragraphe 3

Article 2, paragraphe 1, point a)

Article 2, paragraphe 1, points b) à e)

Article 2, paragraphe 1, points a) à d)

Article 2, paragraphe 1, points e) à j)

Article 3, paragraphe 1

Article 3, paragraphe 2

Article 3, paragraphe 3

Article 3, paragraphe 3, points a) à e)

Article 8, paragraphe 1, points a) à e)

Article 8, paragraphe 1, points f) à i)

Article 3, paragraphe 4

Article 4, paragraphe 1

Article 9, paragraphe 1, et article 3, paragraphe 5

Article 4, paragraphe 2

Article 4, paragraphe 3

Article 9, paragraphe 3

Article 4, paragraphe 4

Article 9, paragraphe 4

Article 4, paragraphe 5

Article 9, paragraphe 5

Article 4, paragraphe 6

Article 25, paragraphe 4

Article 5, paragraphe 1, point a) à f)

Article 11, points a) à f)

Article 11, points g) à k)

Article 5, paragraphe 1, points g) et h)

Article 6

Article 12

Article 7

Article 13

Article 8

Article 14

Article 9

Article 15

Article 10

Article 16

Article 11, paragraphes 1 à 3

Article 17, paragraphes 1 à 3

Article 11, paragraphe 4

Article 17, paragraphe 5

Article 11, paragraphe 5

Article 17, paragraphe 4

Article 12

Article 18

Article 13

Article 23

Article 14

Article 15

Article 27

Article 16

Article 28, paragraphes 1 et 2

Article 28, paragraphe 3

Article 17

Article 37

Article 18

Article 29, paragraphes 1, 2, 4 à 10 et 12 à 15

Article 29, paragraphes 3 et 11

Article 19

Article 30

Articles 31 à 36

Article 20

Article 21

Article 39, paragraphes 1 et 2

Article 22

Article 23

Article 24, paragraphes 1 et 2

Article 40, paragraphes 1 et 2

Article 40, paragraphes 3 à 8

Article 25

Article 41

Article 26

Article 42

Articles 43 à 45

Article 27

Article 46


Règlement (CE) no 407/2002

Présent règlement

Article 2

Article 24

Article 3

Article 25, paragraphes 1 à 3

Article 25, paragraphes 4 et 5

Article 4

Article 26

Article 5, paragraphe 1

Article 3, paragraphe 3

Annexe I

Annexe I

Annexe II


Top