1.   L'ECRIS-TCN se compose des éléments suivants:

2.   Le système central est hébergé par l'eu-LISA sur ses sites techniques.

3.   Le logiciel d'interface est compatible avec l'application de référence de l'ECRIS. Les États membres utilisent l'application de référence de l'ECRIS ou, dans la situation et dans les conditions décrites aux paragraphes 4 à 8, le logiciel d'application national de l'ECRIS, pour interroger l'ECRIS-TCN et pour envoyer ensuite des demandes d'informations sur les casiers judiciaires.

4.   Il incombe aux États membres qui utilisent leur logiciel d'application national de l'ECRIS de s'assurer que celui-ci permet à leurs autorités gérant les casiers judiciaires d'utiliser l'ECRIS-TCN, exception faite du logiciel d'interface, conformément au présent règlement. À cette fin, ils s'assurent, avant la date de mise en service de l'ECRIS-TCN conformément à l'article 35, paragraphe 4, que leur logiciel d'application national de l'ECRIS fonctionne conformément aux protocoles et aux spécifications techniques établis dans les actes d'exécution visés à l'article 10, ainsi qu'à toute autre exigence technique fondée sur ces actes d'exécution établie par l'eu-LISA en vertu du présent règlement.

5.   Tant qu'ils n'utilisent pas l'application de référence de l'ECRIS, les États membres qui utilisent leur logiciel d'application national de l'ECRIS assurent également la mise en œuvre des adaptations techniques ultérieures de leur logiciel d'application national de l'ECRIS requises par les modifications apportées aux spécifications techniques établies par la voie des actes d'exécution visés à l'article 10, ou à toute autre exigence technique fondée sur ces actes d'exécution établie par l'eu-LISA en vertu du présent règlement, sans retard injustifié.

6.   Les États membres qui utilisent leur logiciel d'application national de l'ECRIS supportent tous les coûts afférents à la mise en œuvre, à la maintenance et au développement de ce logiciel ainsi qu'à son interconnexion avec l'ECRIS-TCN, exception faite du logiciel d'interface.

7.   Si un État membre qui utilise son logiciel d'application national de l'ECRIS n'est pas en mesure de satisfaire aux obligations énoncées au présent article, il est tenu d'utiliser l'application de référence de l'ECRIS, y compris le logiciel d'interface intégré, pour pouvoir utiliser l'ECRIS-TCN.

8.   Aux fins de l'évaluation que doit réaliser la Commission en application de l'article 36, paragraphe 10, point b), les États membres concernés communiquent à la Commission toutes les informations nécessaires.

1.   Pour chaque ressortissant d'un pays tiers condamné, l'autorité centrale de l'État membre de condamnation crée un fichier de données dans le système central. Ce fichier de données contient:

2.   Les données dactyloscopiques visées au paragraphe 1, point b), du présent article, répondent aux spécifications techniques concernant la qualité, la résolution et le traitement des données dactyloscopiques prévues dans l'acte d'exécution visé à l'article 10, paragraphe 1, point b). Le numéro de référence des données dactyloscopiques de la personne condamnée comprend le code de l'État membre de condamnation.

3.   Le fichier de données peut également contenir des images faciales du ressortissant d'un pays tiers condamné, si le droit de l'État membre de condamnation autorise la collecte et la conservation des images faciales des personnes condamnées.

4.   L'État membre de condamnation crée le fichier de données automatiquement, si possible, et sans retard injustifié après l'inscription de la condamnation dans le casier judiciaire.

5.   Les États membres de condamnation créent également des fichiers de données concernant les condamnations prononcées avant la date de début de l'inscription des données conformément à l'article 35, paragraphe 1 dans la mesure où les données concernant les personnes condamnées sont conservées dans leurs bases de données nationales. Dans ces cas, les données dactyloscopiques sont incluses uniquement si elles ont été recueillies à l'occasion d'une procédure pénale conformément au droit national, et lorsqu'elles peuvent être clairement mises en concordance avec d'autres données d'identification dans les casiers judiciaires.

6.   Pour se conformer aux obligations énoncées au paragraphe 1, points b) i) et b) ii), et au paragraphe 5, les États membres peuvent utiliser les données dactyloscopiques recueillies à des fins autres qu'une procédure pénale, lorsque cette utilisation est autorisée par le droit national.

1.   Jusqu'à l'entrée en vigueur de l'acte délégué prévu au paragraphe 2, les images faciales ne peuvent être utilisées que pour confirmer l'identité d'un ressortissant d'un pays tiers identifié à la suite d'une consultation alphanumérique ou d'une recherche sur la base des données dactyloscopiques.

2.   La Commission est habilitée à adopter des actes délégués conformément à l'article 37 en vue de compléter le présent règlement en ce qui concerne l'utilisation d'images faciales aux fins de l'identification de ressortissants de pays tiers pour identifier les États membres détenant des informations sur les condamnations antérieures prononcées à l'encontre de ces personnes, lorsque cela devient techniquement possible. Avant d'exercer cette habilitation, la Commission évalue, en se fondant sur des critères de nécessité et de proportionnalité ainsi que sur les évolutions techniques dans le domaine des logiciels de reconnaissance faciale, si la technique requise est disponible et prête à être employée.

1.   Les autorités centrales utilisent l'ECRIS-TCN pour identifier les États membres qui détiennent des informations sur le casier judiciaire d'un ressortissant d'un pays tiers, afin d'obtenir des informations sur les condamnations antérieures au moyen de l'ECRIS, lorsque les informations sur le casier judiciaire sont demandées dans l'État membre concerné aux fins d'une procédure pénale à l'encontre de cette personne, ou à l'une des fins ci-après, si le droit national le prévoit et conformément à celui-ci:

Toutefois, dans des cas particuliers, autres que ceux où un ressortissant d'un pays tiers présente à l'autorité centrale une demande d'informations sur son propre casier judiciaire, ou lorsque la demande est présentée pour obtenir des informations sur un casier judiciaire en vertu de l'article 10, paragraphe 2, de la directive 2011/93/UE, l'autorité demandant des informations sur le casier judiciaire peut décider qu'il n'est pas approprié d'utiliser l'ECRIS-TCN.

2.   Tout État membre qui décide, si le droit national le prévoit et conformément à celui-ci, d'utiliser l'ECRIS-TCN à des fins autres que celles prévues au paragraphe 1 pour obtenir des informations sur les condamnations antérieures au moyen de l'ECRIS notifie à la Commission, au plus tard à la date de mise en service visée à l'article 35, paragraphe 4, ou à tout moment par la suite, ces autres fins et toutes les modifications qui y sont apportées. La Commission publie ces notifications au Journal officiel de l'Union européenne dans les trente jours suivant leur réception.

3.   Eurojust, Europol et le Parquet européen peuvent interroger l'ECRIS-TCN pour identifier les États membres détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers conformément aux articles 14 à 18. Toutefois, ils ne sont pas habilités à inscrire, rectifier ou effacer des données dans l'ECRIS-TCN.

4.   Aux fins visées aux paragraphes 1, 2 et 3, les autorités compétentes peuvent également interroger l'ECRIS-TCN pour vérifier si, en ce qui concerne un citoyen de l'Union, un État membre quelconque détient des informations sur le casier judiciaire de cette personne en tant que ressortissant d'un pays tiers.

5.   Lorsqu'elles interrogent l'ECRIS-TCN, les autorités compétentes peuvent utiliser une partie ou la totalité des données visées à l'article 5, paragraphe 1. L'ensemble minimal de données requises pour interroger le système est précisé dans un acte d'exécution adopté conformément à l'article 10, paragraphe 1, point g).

6.   Les autorités compétentes peuvent également interroger l'ECRIS-TCN en utilisant des images faciales, pour autant que cette fonctionnalité ait été mise en œuvre conformément à l'article 6, paragraphe 2.

7.   En cas de réponse positive, le système central indique automatiquement à l'autorité compétente les États membres détenant des informations sur le casier judiciaire du ressortissant d'un pays tiers concerné, ainsi que les numéros de référence associés et toute donnée d'identification correspondante. Ces données d'identification ne sont utilisées qu'aux fins de la vérification de l'identité du ressortissant d'un pays tiers concerné. Les résultats d'une recherche dans le système central ne peuvent être utilisés que pour introduire une demande conformément à l'article 6 de la décision-cadre 2009/315/JAI ou une demande visée à l'article 17, paragraphe 3, du présent règlement.

8.   En l'absence de réponse positive, le système central en informe automatiquement l'autorité compétente.

1.   Chaque fichier de données est conservé dans le système central tant que les données relatives aux condamnations de la personne concernée sont conservées dans le casier judiciaire.

2.   À l'expiration de la durée de conservation visée au paragraphe 1, l'autorité centrale de l'État membre de condamnation procède à l'effacement du fichier de données, y compris les données dactyloscopiques et les images faciales, du système central. L'effacement se fait automatiquement, si possible, et en tout état de cause au plus tard un mois après l'expiration de la durée de conservation.

1.   Les États membres peuvent modifier ou effacer les données qu'ils ont inscrites dans l'ECRIS-TCN.

2.   Toute modification des informations figurant dans le casier judiciaire qui ont conduit à la création d'un fichier de données conformément à l'article 5 comprend une modification identique, par l'État membre de condamnation, des informations conservées dans le fichier de données en question dans le système central, sans retard injustifié.

3.   Si un État membre de condamnation a des raisons de penser que les données qu'il a enregistrées dans le système central sont inexactes ou que des données ont été traitées dans le système central en violation du présent règlement, il:

4.   Si un État membre autre que l'État membre de condamnation qui a inscrit les données a des raisons de penser que les données enregistrées dans le système central sont inexactes ou que des données ont été traitées dans le système central en violation du présent règlement, il prend contact, sans retard injustifié, avec l'autorité centrale de l'État membre de condamnation.

L'État membre de condamnation:

1.   La Commission adopte les actes d'exécution nécessaires au développement technique et à la mise en œuvre de l'ECRIS-TCN, dès que possible et en particulier les actes concernant:

2.   Les actes d'exécution visés au paragraphe 1 sont adoptés en conformité avec la procédure d'examen visée à l'article 38, paragraphe 2.

1.   L'eu-LISA est responsable du développement de l'ECRIS-TCN conformément au principe de protection des données dès la conception et par défaut. En outre, l'eu-LISA est responsable de la gestion opérationnelle de l'ECRIS-TCN. Le développement consiste en l'élaboration et la mise en œuvre des spécifications techniques, en la réalisation d'essais et en la coordination générale du projet.

2.   L'eu-LISA est également responsable de la poursuite du développement et de la maintenance de l'application de référence de l'ECRIS.

3.   L'eu-LISA définit la conception de l'architecture matérielle de l'ECRIS-TCN, notamment ses spécifications techniques et l'évolution en ce qui concerne le système central, le point d'accès central national, et le logiciel d'interface. Cette conception est adoptée par son conseil d'administration, sous réserve de l'avis favorable de la Commission.

4.   L'eu-LISA développe et met en place l'ECRIS-TCN dès que possible après l'entrée en vigueur du présent règlement et après l'adoption par la Commission des actes d'exécution prévus à l'article 10.

5.   Avant la phase de conception et de développement de l'ECRIS-TCN, le conseil d'administration de l'eu-LISA établit un conseil de gestion du programme, composé de dix membres.

Le conseil de gestion du programme est constitué de huit membres désignés par le conseil d'administration, du président du groupe consultatif visé à l'article 39 et d'un membre désigné par la Commission. Les membres désignés par le conseil d'administration sont issus exclusivement des États membres qui sont pleinement liés, en vertu du droit de l'Union, par les instruments législatifs régissant l'ECRIS et qui participeront à l'ECRIS-TCN. Le conseil d'administration veille à ce que les membres qu'il désigne au conseil de gestion du programme disposent de l'expérience et de l'expertise nécessaires en matière de développement et de gestion des systèmes informatiques utilisés par les autorités judiciaires et celles gérant les casiers judiciaires.

L'eu-LISA participe aux travaux du conseil de gestion du programme. À cette fin, des représentants de l'eu-LISA assistent aux réunions du conseil de gestion du programme afin de faire rapport sur les travaux relatifs à la conception et au développement de l'ECRIS-TCN ainsi que sur les autres travaux et activités connexes.

Le conseil de gestion du programme se réunit au moins une fois tous les trois mois, et plus souvent si nécessaire. Il veille à la bonne gestion de la phase de conception et de développement de l'ECRIS-TCN ainsi qu'à la cohérence entre les projets ECRIS-TCN aux niveaux central et national et avec le logiciel d'application national de l'ECRIS. Le conseil de gestion du programme présente régulièrement, et si possible chaque mois, au conseil d'administration de l'eu-LISA des rapports écrits sur l'état d'avancement du projet. Le conseil de gestion du programme n'a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter les membres du conseil d'administration.

6.   Le conseil de gestion du programme établit son règlement intérieur, qui comprend notamment des règles sur:

7.   La présidence du conseil de gestion du programme est exercée par un État membre qui est pleinement lié, en vertu du droit de l'Union, par les instruments législatifs régissant l'ECRIS et les instruments législatifs régissant le développement, la mise en place, le fonctionnement et l'utilisation de tous les systèmes informatiques à grande échelle gérés par l'eu-LISA.

8.   Tous les frais de voyage et de séjour exposés par les membres du conseil de gestion du programme sont pris en charge par l'eu-LISA. L'article 10 du règlement intérieur de l'eu-LISA s'applique mutatis mutandis. Le secrétariat du conseil de gestion du programme est assuré par l'eu-LISA.

9.   Pendant la phase de conception et de développement, le groupe consultatif visé à l'article 39 se compose des gestionnaires de projets nationaux de l'ECRIS-TCN et est présidé par l'eu-LISA. Au cours de cette phase, il se réunit régulièrement, et si possible au moins une fois par mois, jusqu'à la mise en service de l'ECRIS-TCN. Après chaque réunion, il fait rapport au conseil de gestion du programme. Il fournit l'expertise technique nécessaire à l'appui des tâches du conseil de gestion du programme et suit l'état de préparation des États membres.

10.   Afin de garantir la confidentialité et l'intégrité des données conservées dans l'ECRIS-TCN à tout moment, l'eu-LISA prévoit, en coopération avec les États membres, les mesures techniques et organisationnelles appropriées, en tenant compte de l'état des connaissances, du coût de mise en œuvre et des risques posés par le traitement.

11.   L'eu-LISA est responsable des tâches ci-après, liées à l'infrastructure de communication visée à l'article 4, paragraphe 1, point d):

12.   La Commission est chargée de toutes les autres tâches liées à l'infrastructure de communication visées à l'article 4, paragraphe 1, point d), en particulier:

13.   L'eu-LISA élabore et gère un dispositif et des procédures de contrôle de la qualité des données conservées dans l'ECRIS-TCN et présente à intervalles réguliers des rapports aux États membres. Elle présente à la Commission, à intervalles réguliers, des rapports précisant les problèmes rencontrés et les États membres concernés.

14.   La gestion opérationnelle de l'ECRIS-TCN comprend toutes les tâches nécessaires au fonctionnement de l'ECRIS-TCN conformément au présent règlement, en particulier les travaux de maintenance et les perfectionnements techniques indispensables pour que l'ECRIS-TCN fonctionne à un niveau satisfaisant, conformément aux spécifications techniques.

15.   L'eu-LISA s'acquitte des tâches liées à la fourniture d'une formation relative à l'utilisation technique de l'ECRIS-TCN et de l'application de référence de l'ECRIS.

16.   Sans préjudice de l'article 17 du statut des fonctionnaires de l'Union européenne, tel qu'il figure dans le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (17), l'eu-LISA applique des règles appropriées en matière de secret professionnel ou impose des obligations de confidentialité équivalentes à tous les membres de son personnel appelés à travailler avec les données enregistrées dans le système central. Cette obligation continue de s'appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après la cessation de leur activité.

1.   Chaque État membre est responsable:

2.   Chaque État membre veille à ce que le personnel de son autorité centrale ayant un droit d'accès à l'ECRIS-TCN reçoive, avant d'être autorisé à traiter des données conservées dans le système central, une formation appropriée, portant en particulier sur les règles en matière de sécurité et de protection des données ainsi que les droits fondamentaux applicables.

1.   Conformément aux règles applicables de l'Union en matière de protection des données, chaque État membre veille à ce que les données enregistrées dans l'ECRIS-TCN soient traitées de manière licite, et en particulier à ce que:

2.   L'eu-LISA veille à ce que l'ECRIS-TCN soit utilisé conformément au présent règlement, à l'acte délégué visé à l'article 6, paragraphe 2, et aux actes d'exécution visés à l'article 10, ainsi qu'au règlement (UE) 2018/1725. En particulier, l'eu-LISA prend les mesures nécessaires pour assurer la sécurité du système central et de l'infrastructure de communication visées à l'article 4, paragraphe 1, point d), sans préjudice des responsabilités incombant à chaque État membre.

3.   L'eu-LISA informe le Parlement européen, le Conseil et la Commission, ainsi que le Contrôleur européen de la protection des données, dès que possible, des mesures qu'elle prend, en vertu du paragraphe 2, en vue de la mise en service de l'ECRIS-TCN.

4.   La Commission met les informations visées au paragraphe 3 à la disposition des États membres et du public, par l'intermédiaire d'un site internet public régulièrement actualisé.

1.   Eurojust dispose d'un accès direct à l'ECRIS-TCN aux fins de la mise en œuvre de l'article 17, ainsi que de l'accomplissement de ses missions en vertu de l'article 2 du règlement (UE) 2018/1727, afin d'identifier les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers.

2.   Europol dispose d'un accès direct à l'ECRIS-TCN aux fins de l'accomplissement de ses missions en vertu de l'article 4, paragraphe 1, points a) à e) et h), du règlement (UE) 2016/794, afin d'identifier les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers.

3.   Le Parquet européen dispose d'un accès direct à l'ECRIS-TCN aux fins de l'accomplissement de ses missions en vertu de l'article 4 du règlement (UE) 2017/1939, afin d'identifier les États membres détenant des informations sur les condamnations antérieures de ressortissants de pays tiers.

4.   À la suite d'une réponse positive indiquant les États membres détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers, Eurojust, Europol et le Parquet européen peuvent utiliser les contacts qu'ils ont respectivement établis avec les autorités nationales de ces États membres pour demander des informations sur le casier judiciaire dans la forme prévue par leurs actes constitutifs respectifs.

1.   Les pays tiers et les organisations internationales peuvent, aux fins d'une procédure pénale, adresser des demandes d'information, le cas échéant, sur l'État membre détenant des informations sur le casier judiciaire d'un ressortissant d'un pays tiers à Eurojust. À cette fin, ils utilisent le formulaire type figurant à l'annexe du présent règlement.

2.   Lorsqu'une demande en vertu du paragraphe 1 lui est adressée, Eurojust utilise l'ECRIS-TCN pour identifier, le cas échéant, les États membres détenant des informations sur le casier judiciaire du ressortissant d'un pays tiers concerné.

3.   En cas de réponse positive, Eurojust demande à l'État membre détenant des informations sur le casier judiciaire du ressortissant d'un pays tiers concerné s'il consent à ce qu'Eurojust communique son nom au pays tiers ou à l'organisation internationale. Lorsque cet État membre donne son consentement, Eurojust communique au pays tiers ou à l'organisation internationale le nom de cet État membre et informe le pays tiers ou l'organisation internationale de la manière dont il/elle peut introduire une demande d'extrait de casier judiciaire auprès de cet État membre en conformité avec les procédures applicables.

4.   En l'absence de réponse positive ou lorsqu'Eurojust ne peut pas donner de réponse, conformément au paragraphe 3, aux demandes qui lui ont été adressées au titre du présent article, elle informe le pays tiers ou l'organisation internationale concerné qu'elle a mené à bien la procédure, sans indiquer si des informations sur le casier judiciaire de la personne concernée sont détenues par un État membre.

1.   L'eu-LISA prend les mesures nécessaires pour assurer la sécurité de l'ECRIS-TCN, sans préjudice des responsabilités incombant à chaque État membre, en tenant compte des mesures de sécurité prévues au paragraphe 3.

2.   En ce qui concerne le fonctionnement de l'ECRIS-TCN, l'eu-LISA prend les mesures nécessaires à la réalisation des objectifs fixés au paragraphe 3, y compris l'adoption d'un plan de sécurité et d'un plan de continuité des activités et de rétablissement après sinistre, ainsi que pour faire en sorte que les systèmes installés puissent, en cas d'interruption, être rétablis.

3.   Les États membres assurent la sécurité des données avant et pendant leur transmission au point d'accès central national et leur réception depuis ce même point d'accès central. En particulier, chaque État membre:

4.   L'eu-LISA et les États membres coopèrent afin d'assurer une approche cohérente en matière de sécurité des données, sur la base d'un processus de gestion des risques pour la sécurité englobant l'ensemble de l'ECRIS-TCN.

1.   Toute personne ou tout État membre ayant subi un dommage matériel ou moral du fait d'un traitement illicite ou de toute autre action incompatible avec le présent règlement a le droit d'obtenir réparation:

L'État membre qui est responsable du dommage subi ou l'eu-LISA, respectivement, est exonéré(e) partiellement ou totalement de sa responsabilité s'il/si elle prouve que le fait générateur du dommage ne lui est pas imputable.

2.   Si le non-respect, par un État membre, Eurojust, Europol ou le Parquet européen, des obligations qui lui incombent en vertu du présent règlement cause un dommage à l'ECRIS-TCN, cet État membre, Eurojust, Europol, ou le Parquet européen, respectivement, en est tenu responsable, sauf si et dans la mesure où l'eu-LISA ou un autre État membre participant à l'ECRIS-TCN n'a pas pris de mesures raisonnables pour prévenir le dommage ou en atténuer les effets.

3.   Les actions en réparation intentées contre un État membre pour les dommages visés aux paragraphes 1 et 2 sont régies par le droit de l'État membre défendeur. Les actions en réparation intentées contre l'eu-LISA, Eurojust, Europol et le Parquet européen pour les dommages visés aux paragraphes 1 et 2 sont régis par leurs actes constitutifs respectifs.

1.   Chaque autorité centrale doit être considérée comme le responsable du traitement des données conformément aux règles applicables de l'Union en matière de protection des données pour ce qui est du traitement des données à caractère personnel effectué par ledit État membre en vertu du présent règlement.

2.   L'eu-LISA est considérée comme le sous-traitant des données conformément au règlement (UE) 2018/1725 pour ce qui est des données à caractère personnel inscrites dans le système central par les États membres.

1.   Les données inscrites dans le système central ne font l'objet d'un traitement qu'aux fins de l'identification des États membres détenant des informations sur les casiers judiciaires de ressortissants de pays tiers.

2.   En dehors du personnel dûment autorisé d'Eurojust, d'Europol et du Parquet européen, qui a accès à l'ECRIS-TCN aux fins du présent règlement, l'accès à l'ECRIS-TCN est exclusivement réservé au personnel dûment autorisé des autorités centrales. L'accès est limité à ce qui est requis pour l'accomplissement des tâches, conformément aux finalités visées au paragraphe 1, et à ce qui est nécessaire et proportionné aux objectifs poursuivis.

1.   Les demandes des ressortissants de pays tiers concernant les droits d'accès aux données à caractère personnel, de rectification et d'effacement de ces données et de la limitation de leur traitement, qui sont prévus par les règles applicables de l'Union en matière de protection des données, peuvent être adressées à l'autorité centrale de tout État membre

2.   Lorsqu'une demande est adressée à un État membre autre que l'État membre de condamnation, l'État membre auquel la demande a été adressée la transmet à l'État membre de condamnation sans retard injustifié et, en tout état de cause, dans les dix jours ouvrables suivant la réception de la demande. Dès réception de la demande, l'État membre de condamnation:

3.   S'il apparaît que les données enregistrées dans l'ECRIS-TCN sont inexactes ou qu'elles y ont été traitées de façon illicite, l'État membre de condamnation rectifie ou efface les données conformément à l'article 9. L'État membre de condamnation ou, le cas échéant, l'État membre auquel la demande a été adressée confirme par écrit et sans retard injustifié à la personne concernée que des mesures ont été prises pour rectifier ou effacer des données la concernant. L'État membre de condamnation notifie également sans retard injustifié les mesures qui ont été prises à tout autre État membre ayant reçu des informations relatives à cette condamnation obtenues à la suite de l'interrogation de l'ECRIS-TCN.

4.   Si l'État membre de condamnation n'estime pas que les données enregistrées dans l'ECRIS-TCN sont inexactes ou qu'elles ont été traitées de façon illicite, il adopte une décision administrative ou judiciaire indiquant par écrit à la personne concernée les raisons pour lesquelles il n'est pas disposé à rectifier ou effacer les données la concernant. Ces cas sont, s'il y a lieu, communiqués à l'autorité de contrôle nationale.

5.   L'État membre qui a adopté la décision n vertu du paragraphe 4 fournit également à la personne concernée des informations expliquant les mesures que cette personne peut prendre si elle n'accepte pas l'explication fournie en vertu du paragraphe 4. Il s'agit notamment d'informations sur les modalités de recours ou de réclamation devant les autorités ou les juridictions compétentes de cet État membre, ainsi que sur toute aide, y compris de la part des autorités de contrôle nationales, disponible conformément au droit national de cet État membre.

6.   Toute demande présentée en vertu du paragraphe 1 comporte toutes les informations nécessaires à l'identification de la personne concernée. Ces informations ne sont utilisées que pour permettre l'exercice des droits visés au paragraphe 1 et sont ensuite immédiatement effacées.

7.   Lorsque le paragraphe 2 s'applique, l'autorité centrale à qui la demande a été adressée conserve une trace écrite de l'introduction de cette demande, de la façon dont la demande a été traitée et à quelle autorité elle a été transmise. Si une autorité de contrôle nationale en fait la demande, l'autorité centrale lui transmet sans retard cette trace. L'autorité centrale et l'autorité de contrôle nationale effacent de telles traces trois ans après leur établissement.

1.   Les autorités centrales coopèrent entre elles en vue de garantir le respect des droits prévus à l'article 25.

2.   Dans chaque État membre, l'autorité de contrôle nationale communique sur demande à la personne concernée des informations sur la manière d'exercer son droit de faire rectifier ou effacer les données la concernant, conformément aux règles applicables de l'Union en matière de protection des données.

3.   Aux fins du présent article, l'autorité de contrôle nationale de l'État membre qui a transmis les données et l'autorité de contrôle nationale de l'État membre auquel la demande a été adressée coopèrent entre elles.

1.   Chaque État membre veille à ce que les autorités de contrôle nationales, désignées conformément aux règles applicables de l'Union en matière de protection des données, contrôlent la licéité du traitement, effectué par l'État membre en question, des données à caractère personnel visées aux articles 5 et 6, y compris de leur transmission à partir de l'ECRIS-TCN et vers celui-ci.

2.   L'autorité de contrôle nationale veille à ce qu'un audit des activités de traitement des données figurant dans les casiers judiciaires et les bases de données dactyloscopiques nationaux en rapport avec l'échange de données entre ces systèmes et l'ECRIS-TCN, répondant aux normes internationales d'audit applicables, soit réalisé tous les trois ans au minimum à compter de la date de mise en service de l'ECRIS-TCN.

3.   Les États membres veillent à ce que leurs autorités de contrôle nationales disposent de ressources suffisantes pour s'acquitter des tâches qui leur sont confiées en vertu du présent règlement.

4.   Chaque État membre communique toutes les informations demandées par ses autorités de contrôle nationales et leur fournit, en particulier, les informations relatives aux activités menées conformément aux articles 12, 13 et 19. Chaque État membre permet à ses autorités de contrôle nationales d'accéder à ses traces en application de l'article 25, paragraphe 7, et à ses registres nationaux en application de l'article 31, paragraphe 6, et, à tout moment, à l'ensemble de ses locaux liés à l'ECRIS-TCN.

1.   Le Contrôleur européen de la protection des données contrôle que les activités de traitement des données à caractère personnel menées par l'eu-LISA qui concernent l'ECRIS-TCN sont effectuées conformément au présent règlement.

2.   Le Contrôleur européen de la protection des données veille à ce qu'un audit des activités de traitement des données à caractère personnel menées par l'eu-LISA, répondant aux normes internationales d'audit applicables, soit réalisé tous les trois ans au minimum. Le rapport de cet audit est communiqué au Parlement européen, au Conseil, à la Commission, à l'eu-LISA et aux autorités de contrôle. L'eu-LISA se voit offrir la possibilité de formuler des observations avant l'adoption du rapport.

3.   L'eu-LISA communique au Contrôleur européen de la protection des données les renseignements qu'il demande et lui donne accès à tous les documents et aux registres visés à l'article 31 et, à tout moment, à l'ensemble de ses locaux.

1.   L'eu-LISA et les autorités compétentes veillent, conformément à leurs responsabilités respectives, à ce que toutes les activités de traitement de données dans l'ECRIS-TCN soient consignées dans un registre conformément au paragraphe 2 aux fins de la vérification de la recevabilité des demandes ainsi que du contrôle de l'intégrité et de la sécurité des données et de la licéité du traitement des données, de même qu'à des fins d'autocontrôle.

2.   Le registre mentionne:

3.   Le registre des opérations de consultation et de transmission des données permet d'établir le motif de telles opérations.

4.   Les registres ne sont utilisés que pour contrôler la licéité du traitement des données et pour garantir l'intégrité et la sécurité de celles-ci. Seuls les registres contenant des données à caractère non personnel peuvent être utilisés aux fins du suivi et de l'évaluation visés à l'article 36. Ces registres sont protégés par des mesures appropriées contre tout accès non autorisé et sont effacés au bout de trois ans s'ils ne sont plus nécessaires à une procédure de contrôle déjà engagée.

5.   Sur demande, l'eu-LISA met, sans retard injustifié, les registres de ses opérations de traitement à la disposition des autorités centrales.

6.   Les autorités de contrôle nationales compétentes chargées de vérifier la recevabilité de la demande et de contrôler la licéité du traitement des données ainsi que l'intégrité et la sécurité des données ont accès aux registres à leur demande aux fins de l'accomplissement des tâches qui leur incombent. Sur demande, les autorités centrales mettent, sans retard injustifié, les registres de leurs opérations de traitement à la disposition des autorités de contrôle nationales compétentes.

1.   Le personnel dûment autorisé de l'eu-LISA, des autorités compétentes et de la Commission n'ont accès aux données traitées dans l'ECRIS-TCN qu'à des fins statistiques et d'établissement de rapports ne permettant aucune identification d'individus.

2.   Aux fins du paragraphe 1, l'eu-LISA crée, met en place et héberge sur ses sites techniques un fichier central contenant les données visées au paragraphe 1 qui, sans permettre l'identification d'individus, permet d'obtenir des rapports et des statistiques personnalisables. L'accès au fichier central est accordé de manière sécurisée, moyennant un contrôle de l'accès et des profils d'utilisateur spécifiques utilisés exclusivement aux fins de l'établissement de rapports et de statistiques.

3.   Les procédures mises en place par l'eu-LISA pour suivre le fonctionnement de l'ECRIS-TCN, visées à l'article 36, ainsi que l'application de référence de l'ECRIS, prévoient la possibilité de produire régulièrement des statistiques à des fins de suivi.

Chaque mois, l'eu-LISA soumet à la Commission des statistiques sur l'enregistrement, le stockage et l'échange d'informations extraites des casiers judiciaires au moyen de l'ECRIS-TCN et de l'application de référence de l'ECRIS. L'eu-LISA veille à ce qu'il ne soit pas possible d'identifier des individus sur la base de ces statistiques. À la demande de la Commission, l'eu-LISA lui communique des statistiques relatives à certains aspects spécifiques ayant trait à la mise en œuvre du présent règlement.

4.   Les États membres communiquent à l'eu-LISA les statistiques dont elle a besoin pour s'acquitter de ses obligations visées au présent article. Ils procurent à la Commission des statistiques sur le nombre de ressortissants de pays tiers condamnés, de même que sur le nombre de condamnations de ressortissants de pays tiers prononcées sur leur territoire.

1.   Les coûts afférents à la création et au fonctionnement du système central, de l'infrastructure de communication visée à l'article 4, paragraphe 1, point d), du logiciel d'interface et de l'application de référence de l'ECRIS sont à la charge du budget général de l'Union.

2.   Les coûts de connexion d'Eurojust, d'Europol et du Parquet européen à l'ECRIS-TCN sont imputés à leurs budgets respectifs.

3.   Les autres coûts sont pris en charge par les États membres, en particulier les coûts afférents à la connexion des casiers judiciaires nationaux existants, des bases de données dactyloscopiques et des autorités centrales à l'ECRIS-TCN, ainsi que les coûts liés à l'hébergement de l'application de référence de l'ECRIS.

1.   Chaque État membre notifie à l'eu-LISA le nom de son ou de ses autorités centrales qui bénéficient d'un accès pour inscrire, rectifier, effacer ou consulter des données ou effectuer des recherches dans celles-ci, ainsi que toute modification à cet égard.

2.   L'eu-LISA fait publier, tant au Journal officiel de l'Union européenne que sur son site internet, une liste des autorités centrales notifiées par les États membres. Lorsque l'eu-LISA reçoit la notification d'une modification de l'autorité centrale d'un État membre, elle met à jour la liste sans retard injustifié.

1.   Dès que la Commission considère que les conditions ci-après sont remplies, elle détermine la date à partir de laquelle les États membres commencent à inscrire les données visées à l'article 5 dans l'ECRIS-TCN:

2.   Lorsque la Commission a déterminé la date de début de l'inscription des données conformément au paragraphe 1, elle la communique aux États membres. Durant une période de deux mois à compter de cette date, les États membres inscrivent les données visées à l'article 5 dans l'ECRIS-TCN, en tenant compte de l'article 41, paragraphe 2.

3.   Au terme de la période visée au paragraphe 2, l'eu-LISA réalise un essai final de l'ECRIS-TCN, en coopération avec les États membres.

4.   Lorsque l'essai visé au paragraphe 3 a été mené à bien avec succès et que l'eu-LISA considère que l'ECRIS-TCN est prêt à être mis en service, elle en informe la Commission. La Commission informe le Parlement européen et le Conseil des résultats de l'essai effectué et arrête la date de mise en service de l'ECRIS-TCN.

5.   La décision de la Commission relative à la date de mise en service de l'ECRIS-TCN visée au paragraphe 4 est publiée au Journal officiel de l'Union européenne.

6.   Les États membres commencent à utiliser l'ECRIS-TCN à partir de la date fixée par la Commission conformément au paragraphe 4.

7.   Lorsqu'elle prend les décisions visées au présent article, la Commission peut prévoir des dates différentes pour l'inscription dans l'ECRIS-TCN des données alphanumériques et des données dactyloscopiques visées à l'article 5, ainsi que pour le début des opérations relatives à ces différentes catégories de données.

1.   L'eu-LISA veille à ce que des procédures soient en place pour suivre le développement de l'ECRIS-TCN par rapport aux objectifs fixés en matière de planification et de coûts et suivre le fonctionnement de l'ECRIS-TCN et de l'application de référence de l'ECRIS par rapport aux objectifs fixés en matière de résultats techniques, de coût-efficacité, de sécurité et de qualité du service.

2.   Aux fins du suivi du fonctionnement de l'ECRIS-TCN et de sa maintenance technique, l'eu-LISA a accès aux informations nécessaires concernant les opérations de traitement de données effectuées dans l'ECRIS-TCN et l'application de référence de l'ECRIS.

3.   Au plus tard le 12 décembre 2019, puis tous les six mois pendant la phase de conception et de développement, l'eu-LISA présente un rapport au Parlement européen et au Conseil sur l'état d'avancement du développement de l'ECRIS-TCN et de l'application de référence de l'ECRIS.

4.   Le rapport visé au paragraphe 3 comprend un aperçu des coûts et de l'état d'avancement du projet, une évaluation des incidences financières ainsi que des informations sur les problèmes techniques et les risques susceptibles d'avoir des retombées sur le coût total de l'ECRIS-TCN à imputer sur le budget général de l'Union conformément à l'article 33.

5.   En cas de retards importants dans le processus de développement, l'eu-LISA informe le Parlement européen et le Conseil dès que possible des raisons de ces retards ainsi que de leurs incidences temporelles et financières.

6.   Une fois achevé le développement de l'ECRIS-TCN et de l'application de référence de l'ECRIS, l'eu-LISA soumet un rapport au Parlement européen et au Conseil expliquant la manière dont les objectifs, en particulier ceux ayant trait à la planification et aux coûts, ont été atteints, et justifiant les écarts éventuels.

7.   En cas de mise à niveau technique de l'ECRIS-TCN susceptible d'entraîner des coûts importants, l'eu-LISA informe le Parlement européen et la Commission.

8.   Deux ans après la mise en service de l'ECRIS-TCN et chaque année par la suite, l'eu-LISA présente à la Commission un rapport sur le fonctionnement technique de l'ECRIS-TCN et de l'application de référence de l'ECRIS, y compris sur leur sécurité, fondé notamment sur les statistiques relatives au fonctionnement et à l'utilisation de l'ECRIS-TCN, ainsi que sur l'échange, par l'intermédiaire de l'application de référence de l'ECRIS, d'informations extraites des casiers judiciaires.

9.   Quatre ans après la mise en service de l'ECRIS-TCN et tous les quatre ans par la suite, la Commission procède à une évaluation globale de l'ECRIS-TCN et de l'application de référence de l'ECRIS. Le rapport d'évaluation globale établi sur cette base comprend une évaluation de l'application du présent règlement et un examen des résultats obtenus par rapport aux objectifs fixés ainsi que de l'incidence sur les droits fondamentaux. Le rapport détermine également si les principes de base du fonctionnement de l'ECRIS-TCN restent valables, apprécie la pertinence de l'utilisation des données biométriques aux fins de l'ECRIS-TCN et la sécurité de l'ECRIS-TCN, et en tire toutes les conséquences en matière de sécurité pour le fonctionnement futur. L'évaluation comprend les éventuelles recommandations nécessaires. La Commission transmet le rapport au Parlement européen, au Conseil, au Contrôleur européen de la protection des données et à l'Agence des droits fondamentaux de l'Union européenne.

10.   En outre, la première évaluation globale visée au paragraphe 9 porte notamment sur:

L'évaluation peut, au besoin, être accompagnée de propositions législatives. Les évaluations globales ultérieures peuvent comprendre une appréciation de l'un ou l'autre de ces aspects ou de la totalité d'entre eux.

11.   Les États membres, Eurojust, Europol et le Parquet européen communiquent à l'eu-LISA et à la Commission les informations nécessaires à l'établissement des rapports visés aux paragraphes 3, 8 et 9, dans le respect des indicateurs quantitatifs prédéfinis par la Commission, l'eu-LISA ou la Commission et l'eu-LISA. Ces informations ne portent pas préjudice aux méthodes de travail et ne comprennent pas d'indications sur les sources, les membres du personnel ou les enquêtes.

12.   S'il y a lieu, les autorités de contrôle communiquent à l'eu-LISA et à la Commission les informations nécessaires à l'établissement des rapports visés au paragraphe 9, dans le respect des indicateurs quantitatifs prédéfinis par la Commission, l'eu-LISA ou la Commission et l'eu-LISA. Ces informations ne portent pas préjudice aux méthodes de travail et ne comprennent pas d'indications sur les sources, les membres du personnel ou les enquêtes.

13.   L'eu-LISA communique à la Commission les informations nécessaires pour réaliser les évaluations globales visées au paragraphe 9.

1.   Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.   Le pouvoir d'adopter des actes délégués visé à l'article 6, paragraphe 2, est conféré à la Commission pour une durée indéterminée à compter du 11 juin 2019.

3.   La délégation de pouvoir visée à l'article 6, paragraphe 2, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4.   Avant l'adoption d'un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes définis dans l'accord interinstitutionnel du 13 avril 2016«Mieux légiférer».

5.   Aussitôt qu'elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

6.   Un acte délégué adopté en vertu de l'article 6, paragraphe 2, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil.

1.   La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2.   Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) no 182/2011 s'applique.

Lorsque le comité n'émet aucun avis, la Commission n'adopte pas le projet d'acte d'exécution et l'article 5, paragraphe 4, troisième alinéa, du règlement (UE) no 182/2011 s'applique.

1.   Les États membres prennent les mesures nécessaires pour se conformer au présent règlement dès que possible afin d'assurer le bon fonctionnement de l'ECRIS-TCN.

2.   Pour les condamnations prononcées avant la date de début de l'inscription des données conformément à l'article 35, paragraphe 1, les autorités centrales créent les fichiers de données individuels dans le système central comme suit:

Ce formulaire, disponible sur le site www.eurojust.europa.eu dans les 24 langues officielles des institutions de l’Union, est à adresser dans l’une de ces langues à ECRIS-TCN@eurojust.europa.eu

État ou organisation internationale à l’origine de la demande:

Nom de l’État ou de l’organisation internationale:

Autorité soumettant la demande:

Représentée par (nom de la personne):

Fonctions:

Adresse:

Numéro de téléphone:

Adresse électronique:

Procédure pénale pour laquelle les informations sont demandées:

Numéro de référence interne:

Autorité compétente:

Type d’infractions faisant l’objet d’une enquête (mentionner l’article ou les articles applicables du code pénal):

Autres informations pertinentes (par exemple, urgence de la demande):

Données d’identification de la personne ayant la nationalité d’un pays tiers au sujet de laquelle des informations relatives à l’État membre de condamnation sont demandées:

NB: donner le plus grand nombre possible d’informations disponibles.

Nom (nom de famille):

Prénom(s):

Date de naissance:

Lieu de naissance (ville et pays):

Nationalité(s):

Genre:

Nom(s) précédent(s), le cas échéant:

Noms des parents:

Numéro d’identité:

Type et numéro du ou des documents d’identité de la personne concernée:

Autorité ayant délivré le(s) document(s):

Pseudonymes ou noms d’emprunt:

Si les données dactyloscopiques sont disponibles, veuillez les fournir.

En cas de personnes multiples, veuillez les indiquer séparément.

Un panneau déroulant permettrait l’insertion de sujets supplémentaires

Lieu

Date

Signature et cachet (électroniques):