EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02019R0817-20210803
Regulation (EU) 2019/817 of the European Parliament and of the Council of 20 May 2019 on establishing a framework for interoperability between EU information systems in the field of borders and visa and amending Regulations (EC) No 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 and (EU) 2018/1861 of the European Parliament and of the Council and Council Decisions 2004/512/EC and 2008/633/JHA
Consolidated text: Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil
Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil
02019R0817 — FR — 03.08.2021 — 001.001
Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document
|
RÈGLEMENT (UE) 2019/817 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 20 mai 2019 (JO L 135 du 22.5.2019, p. 27) |
Modifié par:
|
|
|
Journal officiel |
||
|
n° |
page |
date |
||
|
RÈGLEMENT (UE) 2021/1152 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 7 juillet 2021 |
L 249 |
15 |
14.7.2021 |
|
Rectifié par:
RÈGLEMENT (UE) 2019/817 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 20 mai 2019
portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil
CHAPITRE I
Dispositions générales
Article premier
Objet
Le cadre comprend les éléments d'interopérabilité suivants:
un portail de recherche européen (ESP);
un service partagé d'établissement de correspondances biométriques (BMS partagé);
un répertoire commun de données d'identité (CIR);
un détecteur d'identités multiples (MID).
Article 2
Objectifs
En garantissant l'interopérabilité, le présent règlement poursuit les objectifs suivants:
améliorer l'efficacité et l'efficience des vérifications aux frontières extérieures;
contribuer à la prévention de l'immigration illégale et à la lutte contre celle-ci;
contribuer à l'établissement d'un niveau élevé de sécurité dans l'espace de liberté, de sécurité et de justice de l'Union, y compris au maintien de la sécurité publique et de l'ordre public et à la préservation de la sécurité sur le territoire des États membres;
améliorer la mise en œuvre de la politique commune en matière de visas;
aider dans l'examen des demandes de protection internationale;
contribuer à la prévention et à la détection des infractions terroristes et d'autres infractions pénales graves, et aux enquêtes en la matière;
faciliter l'identification de personnes inconnues qui ne sont pas en mesure de s'identifier elles-mêmes ou de restes humains non identifiés en cas de catastrophe naturelle, d'accident ou d'attaque terroriste.
Les objectifs visés au paragraphe 1 sont atteints:
en assurant l'identification correcte des personnes;
en contribuant à la lutte contre la fraude à l'identité;
en améliorant la qualité des données et en harmonisant les exigences relatives à la qualité pour les données stockées dans les systèmes d'information de l'UE tout en respectant les exigences en matière de traitement des données prévues dans les instruments juridiques des différents systèmes ainsi que les normes et les principes en matière de protection des données;
en facilitant et en soutenant la mise en œuvre technique et opérationnelle, par les États membres, des systèmes d'information de l'UE;
en renforçant, en simplifiant et en rendant plus uniformes les conditions de sécurité des données et de protection des données régissant les différents systèmes d'information de l'UE, sans porter atteinte à la protection et aux garanties spéciales accordées à certaines catégories de données;
en rationalisant les conditions d'accès des autorités désignées à l'EES, au VIS, à ETIAS et à Eurodac, tout en garantissant les conditions nécessaires et proportionnées de cet accès;
en soutenant les objectifs de l'EES, du VIS, d'ETIAS, d'Eurodac, du SIS et de l'ECRIS-TCN.
Article 3
Champ d'application
Article 4
Définitions
Aux fins du présent règlement, on entend par:
|
1) |
«frontières extérieures» : les frontières extérieures telles qu'elles sont définies à l'article 2, point 2), du règlement (UE) 2016/399; |
|
2) |
«vérifications aux frontières» : les vérifications aux frontières telles qu'elles sont définies à l'article 2, point 11), du règlement (UE) 2016/399; |
|
3) |
«autorité frontalière» : le garde-frontière chargé, conformément au droit national, d'effectuer des vérifications aux frontières; |
|
4) |
«autorités de contrôle» : l'autorité de contrôle visée à l'article 51, paragraphe 1, du règlement (UE) 2016/679 et l'autorité de contrôle visée à l'article 41, paragraphe 1, de la directive (UE) 2016/680; |
|
5) |
«vérification» : le processus consistant à comparer des séries de données en vue d'établir la validité d'une identité déclarée (contrôle par comparaison de deux échantillons); |
|
6) |
«identification» : le processus consistant à déterminer l'identité d'une personne par interrogation d'une base de données et comparaison avec plusieurs séries de données (contrôle par comparaison de plusieurs échantillons); |
|
7) |
«données alphanumériques» : les données représentées par des lettres, des chiffres, des caractères spéciaux, des espaces et des signes de ponctuation; |
|
8) |
«données d'identité» : les données visées à l'article 27, paragraphe 3, points a) à e); |
|
9) |
«données dactyloscopiques» : les images d'empreintes digitales et les images d'empreintes digitales latentes qui, en raison de leur caractère unique et des points de référence qu'elles contiennent, permettent de réaliser des comparaisons précises et concluantes en ce qui concerne l'identité d'une personne; |
|
10) |
«image faciale» : les images numériques du visage; |
|
11) |
«données biométriques» : les données dactyloscopiques ou les images faciales ou les deux; |
|
12) |
«modèle biométrique» : une représentation mathématique obtenue par l'extraction de caractéristiques des données biométriques, se limitant aux caractéristiques nécessaires pour procéder à des identifications et à des vérifications; |
|
13) |
«document de voyage» : un passeport ou un autre document équivalent, autorisant son titulaire à franchir les frontières extérieures et sur lequel un visa peut être apposé; |
|
14) |
«données du document de voyage» : le type, le numéro et le pays de délivrance du document de voyage, la date d'expiration de sa validité et le code à trois lettres du pays de délivrance du document de voyage; |
|
15) |
«systèmes d'information de l'UE» : l'EES, le VIS, ETIAS, Eurodac, le SIS et l'ECRIS-TCN; |
|
16) |
«données d'Europol» : les données à caractère personnel traitées par Europol pour les finalités visées à l'article 18, paragraphe 2, points a), b) et c), du règlement (UE) 2016/794; |
|
17) |
«bases de données d'Interpol» : la base de données d'Interpol sur les documents de voyage volés et perdus (base de données SLTD) et la base de données d'Interpol sur les documents de voyage associés aux notices (base de données TDAWN); |
|
18) |
«correspondance» : l'existence d'une correspondance résultant d'une comparaison automatisée entre les données à caractère personnel enregistrées ou en cours d'enregistrement dans un système d'information ou dans une base de données; |
|
19) |
«service de police» : l'autorité compétente telle qu'elle est définie à l'article 3, point 7, de la directive (UE) 2016/680; |
|
20) |
«autorités désignées» : les autorités désignées par les États membres telles qu'elles sont définies à l'article 3, paragraphe 1, point 26), du règlement (UE) 2017/2226, à l'article 2, paragraphe 1, point e), de la décision 2008/633/JAI et à l'article 3, paragraphe 1, point 21, du règlement (UE) 2018/1240; |
|
21) |
«infraction terroriste» : une infraction prévue par le droit national qui correspond ou est équivalente à l'une des infractions visées dans la directive (UE) 2017/541 du Parlement européen et du Conseil ( 2 ); |
|
22) |
«infraction pénale grave» : une infraction qui correspond ou est équivalente à l'une des infractions visées à l'article 2, paragraphe 2, de la décision-cadre 2002/584/JAI du Conseil ( 3 ), si elle est punie en droit national d'une peine ou d'une mesure de sûreté privative de liberté d'une durée maximale d'au moins trois ans; |
|
23) |
«système d'entrée/de sortie» ou «EES» : le système d'entrée/de sortie créé par le règlement (UE) 2017/2226; |
|
24) |
«système d'information sur les visas» ou «VIS» : le système d'information sur les visas établi par le règlement (CE) no 767/2008; |
|
25) |
«système européen d'information et d'autorisation concernant les voyages» ou «ETIAS» : le système européen d'information et d'autorisation concernant les voyages créé par le règlement (UE) 2018/1240; |
|
26) |
«Eurodac» : Eurodac créé par le règlement (UE) no 603/2013 du Parlement européen et du Conseil ( 4 ); |
|
27) |
«système d'information Schengen» ou «SIS» : le système d'information Schengen tel qu'établi par les règlements (UE) 2018/1860, (UE) 2018/1861 et (UE) 2018/1862; |
|
28) |
«ECRIS-TCN» : le système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides créé par le règlement (UE) 2019/816 du Parlement européen et du Conseil ( 5 ). |
Article 5
Non-discrimination et droits fondamentaux
Le traitement de données à caractère personnel aux fins du présent règlement ne donne lieu à aucune discrimination à l'encontre des personnes, fondée notamment sur le sexe, la race, la couleur, les origines ethniques ou sociales, les caractéristiques génétiques, la langue, la religion ou les convictions, les opinions politiques ou toute autre opinion, l'appartenance à une minorité nationale, la fortune, la naissance, un handicap, l'âge ou l'orientation sexuelle. Il respecte pleinement la dignité humaine, l'intégrité des personnes et les droits fondamentaux, notamment le droit au respect de la vie privée et le droit à la protection des données à caractère personnel. Une attention particulière est accordée aux enfants, aux personnes âgées, aux personnes handicapées et aux personnes nécessitant une protection internationale. L'intérêt supérieur de l'enfant est une considération primordiale.
CHAPITRE II
Portail de recherche européen
Article 6
Portail de recherche européen
L'ESP se compose des éléments suivants:
une infrastructure centrale, comportant un portail de recherche permettant d'interroger simultanément l'EES, le VIS, ETIAS, Eurodac, le SIS, l' ECRIS-TCN ainsi que les données d'Europol et les bases de données d'Interpol;
un canal de communication sécurisé entre l'ESP, les États membres et les agences de l'Union qui sont autorisées à utiliser l'ESP;
une infrastructure de communication sécurisée entre l'ESP et l'EES, le VIS, ETIAS, Eurodac, le SIS central, l'ECRIS-TCN, les données d'Europol et les bases de données d'Interpol ainsi qu'entre l'ESP et les infrastructures centrales du CIR et du MID.
Article 7
Utilisation du portail de recherche européen
Ces autorités des États membres et ces agences de l'Union peuvent utiliser l'ESP et les données qu'il fournit uniquement pour les objectifs et finalités prévus dans les instruments juridiques régissant ces systèmes d'information de l'UE, dans le règlement (UE) 2016/794 et dans le présent règlement.
Article 8
Profils des utilisateurs du portail de recherche européen
Afin de permettre l'utilisation de l'ESP, l'eu-LISA crée, en collaboration avec les États membres, un profil basé sur chaque catégorie d'utilisateurs de l'ESP et sur les finalités des requêtes, conformément aux détails techniques et aux droits d'accès visés au paragraphe 2. Chaque profil comprend, conformément au droit de l'Union et au droit national, les informations suivantes:
les champs de données à utiliser pour les interrogations;
les systèmes d'information de l'UE, les données d'Europol et les bases de données d'Interpol qui sont interrogés, ceux qui peuvent être interrogés et ceux qui fournissent une réponse à l'utilisateur;
les données spécifiques qui peuvent être interrogées dans les systèmes d'information de l'UE, les données d'Europol et les bases de données d'Interpol;
les catégories de données qui peuvent être fournies dans chaque réponse.
Article 9
Requêtes
Sans préjudice de l'article 20, la réponse fournie par l'ESP indique à quel système d'information de l'UE ou à quelle base de données les données appartiennent.
L'ESP ne fournit aucune information concernant des données contenues dans des systèmes d'information de l'UE, les données d'Europol et les bases de données d'Interpol auxquels l'utilisateur n'a pas accès en vertu du droit de l'Union ou du droit national applicable.
Article 10
Tenue de registres
Sans préjudice de l'article 46 du règlement (UE) 2017/2226, de l'article 34 du règlement (CE) no 767/2008, de l'article 69 du règlement (UE) 2018/1240 et des articles 12 et 18 du règlement (UE) 2018/1861, l'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans l'ESP. Ces registres contiennent les informations suivantes:
l'État membre ou l'agence de l'Union qui lance la requête et le profil ESP utilisé;
la date et l'heure de la requête;
les systèmes d'information de l'UE et les bases de données d'Interpol qui ont été interrogés.
Article 11
Procédures de secours en cas d'impossibilité technique d'utiliser le portail de recherche européen
CHAPITRE III
Service partagé d'établissement de correspondances biométriques
Article 12
Service partagé d'établissement de correspondances biométriques
Le BMS partagé se compose des éléments suivants:
une infrastructure centrale, qui remplace les systèmes centraux de l'EES, du VIS, du SIS, d'Eurodac et de l'ECRIS-TCN, respectivement, dans la mesure où elle stocke des modèles biométriques et permet d'effectuer des recherches à l'aide de données biométriques;
une infrastructure de communication sécurisée entre le BMS partagé, le SIS central et le CIR.
Article 13
Stockage de modèles biométriques dans le service partagé d'établissement de correspondances biométriques
Le BMS partagé stocke les modèles biométriques qu'il obtient à partir des données biométriques suivantes:
les données visées à l'article 16, paragraphe 1, point d), à l'article 17, paragraphe 1, points b) et c), et à l'article 18, paragraphe 2, points a), b) et c), du règlement (UE) 2017/2226;
les données visées à l'article 9, point 6), du règlement (CE) no 767/2008;
les données visées à l'article 20, paragraphe 2, points w) et x), à l'exception des données relatives aux empreintes palmaires, du règlement (UE) 2018/1861;
les données visées à l'article 4, paragraphe 1, points u) et v), à l'exception des données relatives aux empreintes palmaires, du règlement (UE) 2018/1860.
Les modèles biométriques sont stockés dans le BMS partagé sous une forme séparée logiquement en fonction du système d'information de l'UE d'où les données proviennent.
Article 14
Recherche dans des données biométriques à l'aide du service partagé d'établissement de correspondances biométriques
Afin que des recherches puissent être effectuées dans les données biométriques stockées dans le CIR et le SIS, le CIR et le SIS utilisent les modèles biométriques stockés dans le BMS partagé. Les recherches effectuées à l'aide de données biométriques sont effectuées conformément aux finalités prévues dans le présent règlement et dans les règlements (CE) no 767/2008, (UE) 2017/2226, (UE) 2018/1860, (UE) 2018/1861, (UE) 2018/1862 et (UE) 2019/816.
Article 15
Conservation des données dans le service partagé d'établissement de correspondances biométriques
Les données visées à l'article 13, paragraphes 1 et 2, ne sont stockées dans le BMS partagé qu'aussi longtemps que les données biométriques correspondantes sont stockées dans le CIR ou le SIS. Les données sont effacées du BMS partagé de manière automatisée.
Article 16
Tenue de registres
Sans préjudice de l'article 46 du règlement (UE) 2017/2226, de l'article 34 du règlement (CE) no 767/2008 et des articles 12 et 18 du règlement (UE) 2018/1861, l'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le BMS partagé. Ces registres contiennent les informations suivantes:
l'État membre ou l'agence de l'Union qui lance la requête;
l'historique de la création et du stockage des modèles biométriques;
les systèmes d'information de l'UE interrogés à l'aide des modèles biométriques stockés dans le BMS partagé;
la date et l'heure de la requête;
le type de données biométriques utilisées pour lancer la requête;
les résultats de la requête ainsi que la date et l'heure des résultats.
CHAPITRE IV
Répertoire commun de données d'identité
Article 17
Répertoire commun de données d'identité
Le CIR se compose des éléments suivants:
une infrastructure centrale qui remplace les systèmes centraux de l'EES, du VIS, d'ETIAS, d'Eurodac et de l'ECRIS-TCN, dans la mesure où elle stocke les données visées à l'article 18;
un canal de communication sécurisé entre le CIR, les États membres et les agences de l'Union qui sont autorisés à utiliser le CIR conformément au droit de l'Union et au droit national;
une infrastructure de communication sécurisée entre le CIR et l'EES, le VIS, ETIAS, Eurodac et l'ECRIS-TCN, ainsi que les infrastructures centrales de l'ESP, du BMS partagé et du MID.
Article 18
Données du répertoire commun de données d'identité
Le CIR stocke les données suivantes, séparées logiquement en fonction du système d'information d'où elles proviennent:
les données visées à l'article 16, paragraphe 1, points a) à d), à l'article 17, paragraphe 1, points a), b) et c), et à l'article 18, paragraphes 1 et 2, du règlement (UE) 2017/2226;
les données visées à l'article 9, point 4) a) à c), et points 5) et 6), du règlement (CE) no 767/2008;
les données visées à l'article 17, paragraphe 2, points a) à e), du règlement (UE) 2018/1240;
Article 19
Ajout, modification et suppression de données dans le répertoire commun de données d'identité
Article 20
Accès au répertoire commun de données d'identité pour identification
Les interrogations du CIR sont effectuées par un service de police conformément aux paragraphes 2 et 5 uniquement dans les circonstances suivantes:
lorsqu'un service de police n'est pas en mesure d'identifier une personne en raison de l'absence d'un document de voyage ou d'un autre document crédible prouvant l'identité de cette personne;
lorsqu'un doute subsiste quant aux données d'identité fournies par une personne;
lorsqu'un doute subsiste quant à l'authenticité du document de voyage ou d'un autre document crédible fourni par une personne;
lorsqu'un doute subsiste quant à l'identité du titulaire d'un document de voyage ou d'un autre document crédible; ou
lorsqu'une personne n'est pas en mesure ou refuse de coopérer.
Ces interrogations ne peuvent viser des mineurs de moins de 12 ans, à moins que ce ne soit dans l'intérêt supérieur de l'enfant.
Lorsque les données biométriques de la personne ne peuvent pas être utilisées ou lorsque la requête introduite avec ces données échoue, cette dernière est introduite à l'aide des données d'identité de cette personne, combinées aux données du document de voyage, ou à l'aide des données d'identité fournies par cette personne.
Article 21
Accès au répertoire commun de données d'identité pour la détection d'identités multiples
Article 22
Interrogation du répertoire commun de données d'identité à des fins de prévention ou de détection des infractions terroristes ou d'autres infractions pénales graves, ou d'enquêtes en la matière
La réponse indiquant que des données concernant cette personne figurent dans l'un des systèmes d'information de l'UE visés au paragraphe 1 n'est utilisée qu'aux fins de l'introduction d'une demande d'accès complet sous réserve des conditions et des procédures fixées dans les différents instruments juridiques régissant l'accès en question.
En cas d'une ou plusieurs correspondances, l'autorité désignée ou Europol demande un accès complet à au moins un des systèmes d'information avec lesquels une correspondance a été établie.
Si, à titre exceptionnel, cet accès complet n'est pas demandé, la justification de cette absence de demande est enregistrée par les autorités désignées de manière à pouvoir être reliée au dossier national. Europol enregistre la justification dans le dossier concerné.
Article 23
Conservation des données dans le répertoire commun de données d'identité
Article 24
Tenue de registres
L'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le CIR en vertu de l'article 20. Ces registres contiennent les informations suivantes:
l'État membre ou l'agence de l'Union qui lance la requête;
la finalité de l'accès par l'utilisateur qui introduit la requête par l'intermédiaire du CIR;
la date et l'heure de la requête;
le type de données utilisées pour lancer la requête;
les résultats de la requête.
L'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le CIR en vertu de l'article 21. Ces registres contiennent les informations suivantes:
l'État membre ou l'agence de l'Union qui lance la requête;
la finalité de l'accès par l'utilisateur qui introduit la requête par l'intermédiaire du CIR;
la date et l'heure de la requête;
lorsqu'un lien est créé, les données utilisées pour lancer la requête et les résultats de la requête indiquant le système d'information de l'UE d'où proviennent les données.
L'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le CIR en vertu de l'article 22. Ces registres contiennent les informations suivantes:
la date et l'heure de la requête;
les données utilisées pour lancer la requête;
les résultats de la requête;
l'État membre ou l'agence de l'Union qui interroge le CIR.
L'autorité de contrôle compétente, conformément à l'article 41 de la directive (UE) 2016/680, ou le Contrôleur européen de la protection des données, conformément à l'article 43 du règlement (UE) 2016/794, vérifient régulièrement les registres de ces accès, à des intervalles ne dépassant pas six mois, afin de vérifier si les procédures et conditions prévues à l'article 22, paragraphes 1 et 2 du présent règlement sont respectées.
En outre, pour tout accès au CIR accordé en vertu de l'article 22, chaque État membre tient les registres suivants:
la référence du dossier national;
la finalité de l'accès;
conformément aux règles nationales, l'identifiant unique de l'agent qui a introduit la requête et celui de l'agent qui a ordonné la requête.
CHAPITRE V
Détecteur d'identités multiples
Article 25
Détecteur d'identités multiples
Le MID se compose des éléments suivants:
une infrastructure centrale qui stocke des liens et des références aux systèmes d'information de l'UE;
une infrastructure de communication sécurisée pour connecter le MID au SIS et aux infrastructures centrales de l'ESP et du CIR.
Article 26
Accès au détecteur d'identités multiples
Aux fins de la vérification manuelle des différentes identités visée à l'article 29, l'accès aux données visées à l'article 34 stockées dans le MID est accordé:
aux autorités compétentes désignées conformément à l'article 9, paragraphe 2, du règlement (UE) 2017/2226 lors de la création ou de la mise à jour d'un dossier individuel dans l'EES conformément à l'article 14 dudit règlement;
aux autorités chargées des visas visées à l'article 6, paragraphe 1, du règlement (CE) no 767/2008 lors de la création ou de la mise à jour d'un dossier de demande dans le VIS conformément audit règlement;
à l'unité centrale ETIAS et aux unités nationales ETIAS lors du traitement visé aux articles 22 et 26 du règlement (UE) 2018/1240;
au bureau SIRENE de l'État membre qui crée ou met à jour un signalement dans le SIS conformément aux règlements (UE) 2018/1860 et (UE) 2018/1861.
Article 27
Détection d'identités multiples
Une détection d'identités multiples dans le CIR et le SIS est lancée lorsque:
un dossier individuel est créé ou mis à jour dans l'EES conformément à l'article 14 du règlement (UE) 2017/2226;
un dossier de demande est créé ou mis à jour dans le VIS conformément au règlement (CE) no 767/2008;
un dossier de demande est créé ou mis à jour dans ETIAS conformément à l'article 19 du règlement (UE) 2018/1240;
un signalement concernant une personne est créé ou mis à jour dans le SIS conformément à l'article 3 du règlement (UE) 2018/1860 et au chapitre V du règlement (UE) 2018/1861.
Outre le processus visé au paragraphe 2, le CIR et le SIS central utilisent l'ESP pour effectuer des recherches dans les données stockées, respectivement, dans le SIS central et le CIR, à l'aide des données suivantes:
le nom (nom de famille); le ou les prénoms; la date de naissance; la ou les nationalités; et le sexe; visés à l'article 16, paragraphe 1, point a), à l'article 17, paragraphe 1, et à l'article 18, paragraphe 1, du règlement (UE) 2017/2226;
le nom (nom de famille); le ou les prénoms (surnoms); la date de naissance; le sexe; le lieu de naissance et le pays de naissance; et les nationalités; visés à l'article 9, point 4) a) et a bis), du règlement (CE) no 767/2008;
le nom (nom de famille), le ou les prénoms, le nom de naissance, le ou les pseudonymes; la date de naissance, le lieu de naissance, le sexe et la nationalité actuelle; visés à l'article 17, paragraphe 2, du règlement (UE) 2018/1240;
les noms, les prénoms, les noms à la naissance, les noms utilisés antérieurement et les pseudonymes, le lieu de naissance, la date de naissance, le genre et toutes les nationalités possédées, visés à l'article 20, paragraphe 2, du règlement (UE) 2018/1861;
les noms, les prénoms, les noms à la naissance, les noms utilisés antérieurement et les pseudonymes, le lieu de naissance, la date de naissance, le genre et toutes les nationalités possédées, visés à l'article 4 du règlement (UE) 2018/1860.
Article 28
Résultats de la détection d'identités multiples
Lorsque plusieurs correspondances sont générées, un lien est créé entre toutes les données ayant déclenché la correspondance. Lorsque les données étaient déjà liées, le lien existant est étendu aux données utilisées pour lancer la recherche.
Article 29
Vérification manuelle des différentes identités et autorités responsables
Sans préjudice du paragraphe 2, l'autorité chargée de la vérification manuelle des différentes identités est:
l'autorité compétente désignée conformément à l'article 9, paragraphe 2, du règlement (UE) 2017/2226 pour les correspondances générées lors de la création ou de la mise à jour d'un dossier individuel dans l'EES conformément audit règlement;
les autorités chargées des visas visées à l'article 6, paragraphe 1, du règlement (CE) no 767/2008 pour les correspondances générées lors de la création ou de la mise à jour d'un dossier de demande dans le VIS conformément audit règlement;
l'unité centrale ETIAS et les unités nationales ETIAS pour les correspondances générées lors de la création ou de la mise à jour d'un dossier de demande conformément au règlement (UE) 2018/1240;
le bureau SIRENE de l'État membre pour les correspondances générées lors de la création ou de la mise à jour d'un signalement dans le SIS conformément aux règlements (UE) 2018/1860 et (UE) 2018/1861.
Le MID indique l'autorité chargée de la vérification manuelle des différentes identités dans le dossier de confirmation d'identité.
L'autorité chargée de la vérification manuelle des différentes identités dans le dossier de confirmation d'identité est le bureau SIRENE de l'État membre qui a créé le signalement lorsqu'un lien est créé vers les données contenues dans un signalement concernant:
des personnes recherchées en vue d'une arrestation aux fins de remise ou d'extradition, visé à l'article 26 du règlement (UE) 2018/1862;
des personnes disparues ou vulnérables, visé à l'article 32 du règlement (UE) 2018/1862;
des personnes recherchées dans le but de rendre possible leur concours dans le cadre d'une procédure judiciaire, visé à l'article 34 du règlement (UE) 2018/1862;
des personnes aux fins de contrôles discrets, de contrôles d'investigation ou de contrôles spécifiques, visé à l'article 36 du règlement (UE) 2018/1862.
Cette vérification manuelle des différentes identités s'effectue en présence de la personne concernée, à qui est donnée la possibilité d'expliquer les circonstances à l'autorité responsable, laquelle tient compte de ces explications.
Lorsque la vérification manuelle des différentes identités s'effectue à la frontière, elle a lieu dans un délai de douze heures à compter de la création d'un lien jaune en vertu de l'article 28, paragraphe 4, dans la mesure du possible.
Article 30
Lien jaune
Lorsque la vérification manuelle des différentes identités n'a pas encore eu lieu, un lien entre des données provenant d'au moins deux systèmes d'information de l'UE est classé comme jaune dans les cas suivants:
les données liées comportent les mêmes données biométriques mais ont des données d'identité similaires ou différentes;
les données liées ont des données d'identité différentes mais les données du document de voyage sont les mêmes, et au moins l'un des systèmes d'information de l'UE ne contient pas de données biométriques sur la personne concernée;
les données liées comportent les mêmes données d'identité mais ont des données biométriques différentes;
les données liées comportent des données d'identité similaires ou différentes, et ont les mêmes données du document de voyage, mais comportent des données biométriques différentes.
Article 31
Lien vert
Un lien entre des données provenant d'au moins deux systèmes d'information de l'UE est classé comme vert lorsque:
les données liées ont des données biométriques différentes mais comportent les mêmes données d'identité et l'autorité chargée de la vérification manuelle des différentes identités a conclu que les données liées désignent deux personnes différentes;
les données liées ont des données biométriques différentes, elles comportent des données d'identité similaires ou différentes, les données du document de voyage sont les mêmes et l'autorité chargée de la vérification manuelle des différentes identités a conclu que les données liées désignent deux personnes différentes;
les données liées ont des données d'identité différentes mais les données du document de voyage sont les mêmes, au moins un des systèmes d'information de l'UE ne contient pas de données biométriques sur la personne concernée, et l'autorité chargée de la vérification manuelle des différentes identités a conclu que les données liées désignent deux personnes différentes.
Article 32
Lien rouge
Un lien entre des données provenant d'au moins deux systèmes d'information de l'UE est classé comme rouge dans les cas suivants:
les données liées comportent les mêmes données biométriques mais ont des données d'identité similaires ou différentes et l'autorité chargée de la vérification manuelle des différentes identités a conclu que les données liées désignent la même personne d'une manière injustifiée;
les données liées comportent les mêmes données d'identité ou des données d'identité similaires ou différentes et les mêmes données du document de voyage, mais les données biométriques sont différentes, et l'autorité chargée de la vérification manuelle des différentes identités a conclu que les données liées désignent deux personnes différentes, dont une au moins utilise le même document de voyage d'une manière injustifiée;
les données liées comportent les mêmes données d'identité mais ont des données biométriques différentes et les données du document de voyage sont différentes ou manquantes, et l'autorité chargée de la vérification manuelle des différentes identités a conclu que les données liées désignent deux personnes différentes d'une manière injustifiée;
les données liées ont des données d'identité différentes, mais les données du document de voyage sont les mêmes, au moins un des systèmes d'information de l'UE ne contient pas de données biométriques sur la personne concernée et l'autorité chargée de la vérification manuelle des différentes identités a conclu que les données liées désignent la même personne d'une manière injustifiée.
Si une autorité d'un État membre ou une agence de l'Union ayant accès au CIR ou au SIS détient une preuve suggérant qu'un lien rouge a été enregistré de manière incorrecte dans le MID ou que les données ont été traitées dans le MID, le CIR ou le SIS en violation du présent règlement, cette autorité ou cette agence vérifie les données pertinentes stockées dans le CIR et le SIS et:
lorsque le lien se rapporte à l'un des signalements dans le SIS visés à l'article 29, paragraphe 2, informe immédiatement le bureau SIRENE de l'État membre concerné qui a créé le signalement dans le SIS;
dans tous les autres cas, rectifie ou efface immédiatement le lien du MID.
Si un bureau SIRENE est contacté en vertu du premier alinéa, point a), il vérifie les preuves fournies par l'autorité de l'État membre ou l'agence de l'Union et, s'il y a lieu, rectifie ou efface immédiatement le lien du MID.
L'autorité de l'État membre qui a obtenu la preuve informe sans retard l'État membre responsable de la vérification manuelle des différentes identités de toute rectification ou suppression pertinente d'un lien rouge.
Article 33
Lien blanc
Un lien entre des données provenant d'au moins deux systèmes d'information de l'UE est classé comme blanc dans les cas suivants:
les données liées comportent les mêmes données biométriques et les mêmes données d'identité ou des données d'identité similaires;
les données liées comportent les mêmes données d'identité ou des données d'identité similaires, les mêmes données du document de voyage et au moins l'un des systèmes d'information de l'UE ne contient pas de données biométriques sur la personne concernée;
les données liées comportent les mêmes données biométriques, les mêmes données du document de voyage et des données d'identité similaires;
les données liées comportent les mêmes données biométriques mais ont des données d'identité similaires ou différentes et l'autorité chargée de la vérification manuelle des différentes identités a conclu que les données liées désignent la même personne d'une manière justifiée.
Article 34
Dossier de confirmation d'identité
Le dossier de confirmation d'identité contient les données suivantes:
les liens visés aux articles 30 à 33;
une référence aux systèmes d'information de l'UE contenant les données liées;
un numéro d'identification unique permettant d'extraire, des systèmes d'information de l'UE correspondants, les données liées;
l'autorité responsable de la vérification manuelle des différentes identités;
la date de création du lien ou toute mise à jour de celui-ci.
Article 35
Conservation des données dans le détecteur d'identités multiples
Les dossiers de confirmation d'identité et leurs données, y compris les liens, ne sont stockés dans le MID qu'aussi longtemps que les données liées sont stockées dans au moins deux systèmes d'information de l'UE. Ils sont effacés du MID de manière automatisée.
Article 36
Tenue de registres
L'eu-LISA tient des registres de toutes les opérations de traitement de données effectuées dans le MID. Ces registres contiennent les informations suivantes:
l'État membre qui lance la requête;
la finalité de l'accès par l'utilisateur;
la date et l'heure de la requête;
le type de données utilisées pour lancer la requête;
la référence aux données liées;
l'historique du dossier de confirmation d'identité.
CHAPITRE VI
Mesures soutenant l'interopérabilité
Article 37
Qualité des données
Seules les données répondant aux normes de qualité minimales peuvent être introduites dans l'EES, le VIS, ETIAS, le SIS, le BMS partagé, le CIR et le MID.
La Commission transmet le rapport d'évaluation au Parlement européen, au Conseil, au Contrôleur européen de la protection des données, au comité européen de la protection des données et à l'Agence des droits fondamentaux de l'Union européenne instituée par le règlement (CE) no 168/2007 du Conseil ( 6 ).
Article 38
Format universel pour les messages
Article 39
Répertoire central des rapports et statistiques
Les données contenues dans le CRRS ne permettent pas l'identification des personnes.
Le CRRS se compose des éléments suivants:
les outils nécessaires à l'anonymisation des données;
une infrastructure centrale, comprenant un répertoire de données anonymes;
une infrastructure de communication sécurisée pour connecter le CRRS à l'EES, au VIS, à ETIAS et au SIS, ainsi qu'aux infrastructures centrales du BMS partagé, du CIR et du MID.
CHAPITRE VII
Protection des données
Article 40
Responsable du traitement des données
En ce qui concerne le traitement des données dans le MID:
l'Agence européenne de garde-frontières et de garde-côtes est le responsable du traitement au sens de l'article 3, point 8), du règlement (UE) 2018/1725 en ce qui concerne le traitement des données à caractère personnel par l'unité centrale ETIAS.
les autorités des États membres qui ajoutent des données dans le dossier de confirmation d'identité ou en modifient les données sont les responsables du traitement au sens de l'article 4, point 7), du règlement (UE) 2016/679 ou de l'article 3, point 8), de la directive (UE) 2016/680 et sont chargées du traitement des données à caractère personnel dans le MID.
Article 41
Sous-traitant
En ce qui concerne le traitement des données à caractère personnel dans le BMS partagé, le CIR et le MID, l'eu-LISA est le sous-traitant au sens de l'article 3, point 12) a), du règlement (UE) 2018/1725.
Article 42
Sécurité du traitement
En particulier, l'eu-LISA adopte les mesures nécessaires, y compris un plan de sécurité, un plan de continuité des activités et un plan de rétablissement après sinistre, afin:
d'assurer la protection physique des données, notamment en élaborant des plans d'urgence pour la protection des infrastructures critiques;
d'interdire à toute personne non autorisée d'accéder aux équipements et aux installations utilisés pour le traitement de données;
d'empêcher toute lecture, copie ou modification ou tout retrait non autorisés de supports de données;
d'empêcher l'introduction non autorisée de données et le contrôle, la modification ou l'effacement non autorisés de données à caractère personnel enregistrées;
d'empêcher le traitement non autorisé de données ainsi que toute copie, toute modification ou tout effacement non autorisés de données;
d'empêcher l'utilisation de systèmes de traitement automatisé de données par des personnes non autorisées au moyen de matériel de transmission de données;
de garantir que les personnes autorisées à avoir accès aux éléments d'interopérabilité n'ont accès qu'aux données couvertes par leur autorisation d'accès, uniquement grâce à l'attribution d'identifiants individuels et à des modes d'accès confidentiels;
de garantir la possibilité de vérifier et d'établir à quels organismes les données à caractère personnel peuvent être transmises au moyen de matériel de transmission de données;
de garantir la possibilité de vérifier et d'établir quelles données ont été traitées dans les éléments d'interopérabilité, à quel moment, par qui et dans quel but;
d'empêcher toute lecture, copie, modification ou tout effacement non autorisés de données à caractère personnel pendant leur transmission à partir des éléments d'interopérabilité ou vers ceux-ci, ou durant le transport de supports de données, en particulier au moyen de techniques de cryptage adaptées;
de garantir le rétablissement des systèmes installés en cas d'interruption;
de garantir la fiabilité en veillant à ce que toute erreur survenant dans le fonctionnement des éléments d'interopérabilité soit dûment signalée;
de contrôler l'efficacité des mesures de sécurité visées au présent paragraphe et de prendre les mesures organisationnelles nécessaires en matière de contrôle interne pour assurer le respect du présent règlement et d'évaluer ces mesures de sécurité à la lumière des nouvelles avancées technologiques.
Article 43
Incidents de sécurité
Sans préjudice des articles 34 et 35 du règlement (UE) 2018/1725 et de l'article 34 du règlement (UE) 2016/794, l'unité centrale ETIAS et Europol notifient sans retard tout incident de sécurité à la Commission, à l'eu-LISA et au Contrôleur européen de la protection des données.
En cas d'incident de sécurité concernant l'infrastructure centrale des éléments d'interopérabilité, l'eu-LISA le notifie à la Commission et au Contrôleur européen de la protection des données sans retard.
Article 44
Autocontrôle
Les États membres et les agences de l'Union concernées veillent à ce que chaque autorité habilitée à avoir accès aux éléments d'interopérabilité prenne les mesures nécessaires pour vérifier qu'elle respecte le présent règlement et coopère, au besoin, avec l'autorité de contrôle.
Les responsables du traitement visés à l'article 40 prennent les mesures nécessaires afin de contrôler la conformité des opérations de traitement des données au regard du présent règlement, notamment en vérifiant fréquemment les registres visés aux articles 10, 16, 24 et 36, et coopèrent, au besoin, avec les autorités de contrôle et avec le Contrôleur européen de la protection des données.
Article 45
Sanctions
Les États membres veillent à ce que toute utilisation abusive, tout traitement ou tout échange de données contraire au présent règlement soit sanctionné conformément à leur droit national. Les sanctions prévues sont effectives, proportionnées et dissuasives.
Article 46
Responsabilité
Sans préjudice du droit à réparation de la part du responsable du traitement ou du sous-traitant et de la responsabilité de ceux-ci au titre du règlement (UE) 2016/679, de la directive (UE) 2016/680 et du règlement (UE) 2018/1725:
toute personne ou tout État membre ayant subi un dommage matériel ou moral du fait d'une opération illicite de traitement de données à caractère personnel ou de tout autre acte incompatible avec le présent règlement de la part d'un État membre a le droit d'obtenir réparation dudit État membre;
toute personne ou tout État membre ayant subi un dommage matériel ou moral du fait de tout acte d'Europol, de l'Agence européenne de garde-frontières et de garde-côtes ou de l'eu-LISA incompatible avec le présent règlement a le droit d'obtenir réparation de l'agence en question.
L'État membre concerné, Europol, l'Agence européenne de garde-frontières et de garde-côtes ou l'eu-LISA sont exonérés, totalement ou partiellement, de leur responsabilité en vertu du premier alinéa, s'ils prouvent que le fait générateur du dommage ne leur est pas imputable.
Article 47
Droit à l'information
Les personnes dont les données sont enregistrées dans l'EES, le VIS ou ETIAS sont informées du traitement de données à caractère personnel aux fins du présent règlement conformément au paragraphe 1 lorsque:
un dossier individuel est créé ou mis à jour dans l'EES conformément à l'article 14 du règlement (UE) 2017/2226;
un dossier de demande est créé ou mis à jour dans le VIS conformément à l'article 8 du règlement (CE) no 767/2008;
un dossier de demande est créé ou mis à jour dans ETIAS conformément à l'article 19 du règlement (UE) 2018/1240.
Article 48
Droit d'accès aux données à caractère personnel stockées dans le MID et droits de rectification, d'effacement et de limitation du traitement de ces données
Article 49
Portail en ligne
Article 50
Communication de données à caractère personnel vers des pays tiers, à des organisations internationales et à des entités privées
Sans préjudice de l'article 65 du règlement (UE) 2018/1240, des articles 25 et 26 du règlement (UE) 2016/794, de l'article 41 du règlement (UE) 2017/2226, de l'article 31 du règlement (CE) no 767/2008 et de l'interrogation des bases de données d'Interpol via l'ESP conformément à l'article 9, paragraphe 5, du présent règlement, qui respectent les dispositions du chapitre V du règlement (UE) 2018/1725 et du chapitre V du règlement (UE) 2016/679, les données à caractère personnel stockées dans les éléments d'opérabilité, traitées ou accessibles par ces éléments, ne peuvent être transférées vers un pays tiers, à une organisation internationale ou à une entité privée, ni être mises à leur disposition.
Article 51
Contrôle par les autorités de contrôle
Les autorités de contrôle publient chaque année le nombre de demandes visant à faire rectifier ou effacer des données à caractère personnel, ou à en faire limiter le traitement, les mesures prises par la suite et le nombre de rectifications et d'effacements auxquels il a été procédé et de limitations apportées au traitement, en réponse aux demandes des personnes concernées.
Article 52
Audits par le Contrôleur européen de la protection des données
Le Contrôleur européen de la protection des données veille à ce que soit réalisé, tous les quatre ans au minimum, un audit des opérations de traitement des données à caractère personnel effectuées aux fins du présent règlement par l'eu-LISA, l'unité centrale ETIAS et Europol, conformément aux normes internationales applicables en matière d'audit. Ce rapport d'audit est communiqué au Parlement européen, au Conseil, à l'eu-LISA, à la Commission, aux États membres et aux agences de l'Union concernées. L'eu-LISA, l'unité centrale ETIAS et Europol ont la possibilité de formuler des observations avant l'adoption des rapports.
L'eu-LISA et l'unité centrale ETIAS et Europol fournissent au Contrôleur européen de la protection des données les renseignements qu'il demande et lui octroient l'accès à tous les documents qu'il demande et à leurs registres visés aux articles 10, 16, 24 et 36, et lui permettent d'accéder, à tout moment, à l'ensemble de leurs locaux.
Article 53
Coopération entre les autorités de contrôle et le Contrôleur européen de la protection des données
CHAPITRE VIII
Responsabilités
Article 54
Responsabilités de l'eu-LISA durant la phase de conception et de développement
Sans préjudice de l'article 66, l'eu-LISA n'a accès à aucune des données à caractère personnel traitées via l'ESP, le BMS partagé, le CIR ou le MID.
L'eu-LISA définit la conception de l'architecture matérielle des éléments d'interopérabilité, y compris leur infrastructure de communication, ainsi que les spécifications techniques et leur évolution en ce qui concerne l'infrastructure centrale et l'infrastructure de communication sécurisée, qui est adoptée par le conseil d'administration après avis favorable de la Commission. L'eu-LISA met également en œuvre tout aménagement éventuellement nécessaire de l'EES, du VIS, d'ETIAS ou du SIS, résultant de l'établissement de l'interopérabilité et prévu par le présent règlement.
L'eu-LISA développe et met en œuvre les éléments d'interopérabilité dès que possible après l'entrée en vigueur du présent règlement et l'adoption par la Commission des mesures prévues à l'article 8, paragraphe 2, à l'article 9, paragraphe 7, à l'article 28, paragraphes 5 et 7, à l'article 37, paragraphe 4, à l'article 38, paragraphe 3, à l'article 39, paragraphe 5, à l'article 43, paragraphe 5 et à l'article 78, paragraphe 10.
Le développement consiste en l'élaboration et la mise en œuvre des spécifications techniques, en la réalisation d'essais et en la gestion et la coordination générales du projet.
Le conseil de gestion du programme soumet chaque mois au conseil d'administration de l'eu-LISA des rapports écrits sur l'état d'avancement du projet. Le conseil de gestion du programme n'a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter les membres du conseil d'administration de l'eu-LISA.
Le conseil d'administration de l'eu-LISA définit le règlement intérieur du conseil de gestion du programme, qui comprend notamment des règles sur:
la présidence;
les lieux de réunion;
la préparation des réunions;
l'admission d'experts aux réunions;
les plans de communication garantissant que les membres du conseil d'administration non participants soient pleinement informés.
La présidence est exercée par un État membre qui est pleinement lié, en vertu du droit de l'Union, par les instruments juridiques régissant le développement, la création, le fonctionnement et l'utilisation de tous les systèmes d'information de l'UE et qui participera aux éléments d'interopérabilité.
Tous les frais de voyage et de séjour exposés par les membres du conseil de gestion du programme sont pris en charge par l'eu-LISA et l'article 10 du règlement intérieur de l'eu-LISA s'applique mutatis mutandis. Le secrétariat du conseil de gestion du programme est assuré par l'eu-LISA.
Le groupe consultatif sur l'interopérabilité visé à l'article 75 se réunit régulièrement jusqu'à la mise en service des éléments d'interopérabilité. Après chaque réunion, il rend compte au comité de gestion du programme. Il fournit l'expertise technique nécessaire à l'appui des tâches du conseil de gestion du programme et suit l'état de préparation des États membres.
Article 55
Responsabilités de l'eu-LISA après la mise en service
La gestion technique des éléments d'interopérabilité comprend toutes les tâches et solutions techniques nécessaires au fonctionnement des éléments d'interopérabilité et la fourniture continue de services aux États membres et aux agences de l'Union, 24 heures sur 24, 7 jours sur 7, conformément au présent règlement. Elle comprend, en particulier, les travaux de maintenance et les perfectionnements techniques indispensables pour que les éléments d'interopérabilité fonctionnent à un niveau satisfaisant de qualité technique, notamment quant au temps de réponse pour l'interrogation des infrastructures centrales, conformément aux spécifications techniques.
Tous les éléments d'interopérabilité sont élaborés et gérés de manière à assurer un accès rapide, continu, efficace et contrôlé aux éléments et données stockés dans le MID, le BMS partagé et le CIR ainsi que leur disponibilité totale et ininterrompue, et un temps de réponse adapté aux besoins opérationnels des autorités des États membres et des agences de l'Union.
Sans préjudice de l'article 66, l'eu-LISA n'a accès à aucune des données à caractère personnel traitées via l'ESP, le BMS partagé, le CIR et le MID.
Article 56
Responsabilités des États membres
Chaque État membre est responsable:
de la connexion à l'infrastructure de communication de l'ESP et du CIR;
de l'intégration des systèmes et infrastructures nationaux existants avec l'ESP, le CIR et le MID;
de l'organisation, de la gestion, du fonctionnement et de la maintenance de son infrastructure nationale existante et de sa connexion aux éléments d'interopérabilité;
de la gestion et des modalités de l'accès à l'ESP, au CIR et au MID du personnel dûment autorisé des autorités nationales compétentes, conformément au présent règlement, ainsi que de l'établissement d'une liste de ce personnel et de ses qualifications et de la mise à jour régulière de cette liste;
de l'adoption des mesures législatives visées à l'article 20, paragraphes 5 et 6, afin d'octroyer l'accès au CIR à des fins d'identification;
de la vérification manuelle des différentes identités, visée à l'article 29;
du respect des exigences en matière de qualité des données établies au titre du droit de l'Union;
du respect des règles applicables à chaque système d'information de l'UE en ce qui concerne la sécurité et l'intégrité des données à caractère personnel;
de la correction des manquements constatés dans le rapport d'évaluation de la Commission concernant la qualité des données visé à l'article 37, paragraphe 5.
Article 57
Responsabilités de l'unité centrale ETIAS
L'unité centrale ETIAS est responsable:
de la vérification manuelle des différentes identités conformément à l'article 29;
de la détection d'identités multiples entre les données stockées dans l'EES, le VIS, Eurodac et le SIS, visée à l'article 69.
CHAPITRE IX
Modifications d'autres instruments de l'Union
Article 58
Modifications du règlement (CE) no 767/2008
Le règlement (CE) no 767/2008 est modifié comme suit:
À l'article 1er, l'alinéa suivant est ajouté:
«En stockant des données d'identité, des données du document de voyage et des données biométriques dans le répertoire commun de données d'identité (CIR) établi par l'article 17, paragraphe 1, du règlement (UE) 2019/817 du Parlement européen et du Conseil ( *1 ), le VIS contribue à faciliter l'identification correcte des personnes enregistrées dans le VIS et à aider à cette identification aux conditions et pour les finalités prévues à l'article 20 dudit règlement.
À l'article 4, les points suivants sont ajoutés:
|
«12) |
“données du VIS” : l'ensemble des données stockées dans le système central du VIS et dans le CIR conformément aux articles 9 à 14; |
|
13) |
“données d'identité” : les données visées à l'article 9, points 4) a) et a bis); |
|
14) |
“données dactyloscopiques” : les données relatives aux cinq empreintes digitales de l'index, du majeur, de l'annulaire, de l'auriculaire et du pouce de la main droite et, si cela est physiquement possible, de la main gauche;». |
À l'article 5, le paragraphe suivant est inséré:
À l'article 6, le paragraphe 2 est remplacé par le texte suivant:
À l'article 9, le point 4 a) à c), est modifié comme suit:
nom (nom de famille); prénom(s) (surnoms); date de naissance; sexe;
nom à la naissance (nom(s) de famille antérieur(s)); lieu et pays de naissance; nationalité actuelle et nationalité à la naissance;
type et numéro du ou des documents de voyage et code à trois lettres du pays de délivrance du ou des documents de voyage;
date d'expiration de la validité du ou des documents de voyage;
autorité qui a délivré le document de voyage et date de délivrance;».
Article 59
Modification du règlement (UE) 2016/399
À l'article 8, le paragraphe suivant est inséré:
Conformément à l'article 69, paragraphe 1, du règlement (UE) 2019/817 le présent paragraphe s'applique à partir de la mise en service du détecteur d'identités multiples au titre de l'article 72, paragraphe 4, dudit règlement.
Article 60
Modifications du règlement (UE) 2017/2226
Le règlement (UE) 2017/2226 est modifié comme suit:
À l'article 1er, le paragraphe suivant est ajouté:
À l'article 3, le paragraphe 1 est modifié comme suit:
le point 22) est remplacé par le texte suivant:
|
«22) |
“données de l'EES” : l'ensemble des données stockées dans le système central de l'EES et dans le CIR conformément aux articles 15 à 20;»; |
le point suivant est inséré:
|
«22 bis) |
“données d'identité” : les données visées à l'article 16, paragraphe 1, point a), ainsi que les données pertinentes visées à l'article 17, paragraphe 1, et à l'article 18, paragraphe 1;»; |
les points suivants sont ajoutés:
|
«32) |
“ESP” : le portail européen de recherche créé par l'article 6, paragraphe 1, du règlement (UE) 2019/817; |
|
33) |
“CIR” : le répertoire commun de données d'identité établi par l'article 17, paragraphe 1, du règlement (UE) 2019/817.». |
À l'article 6, paragraphe 1, le point suivant est ajouté:
«j) assurer l'identification correcte des personnes;».
L'article 7 est modifié comme suit:
le paragraphe 1 est modifié comme suit:
le point suivant est inséré:
«a bis) l'infrastructure centrale du CIR visée à l'article 17, paragraphe 2, point a), du règlement (UE) 2019/817;»;
le point f) est remplacé par le texte suivant:
«f) une infrastructure de communication sécurisée entre le système central de l'EES et les infrastructures centrales de l'ESP et du CIR.»;
le paragraphe suivant est inséré:
À l'article 9, le paragraphe suivant est ajouté:
L'article 21 est modifié comme suit:
le paragraphe 1 est remplacé par le texte suivant:
au paragraphe 2, le premier alinéa est remplacé par le texte suivant:
L'article 23 est modifié comme suit:
le paragraphe suivant est inséré:
au paragraphe 4, le premier alinéa est remplacé par le texte suivant:
À l'article 32, le paragraphe suivant est inséré:
À l'article 33, le paragraphe suivant est inséré:
L'article 34 est modifié comme suit:
aux paragraphes 1 et 2, les termes «dans le système central de l'EES» sont remplacés par les termes «dans le CIR et dans le système central de l'EES»;
au paragraphe 5, les termes «du système central de l'EES» sont remplacés par les termes «du système central de l'EES et du CIR».
À l'article 35, le paragraphe 7 est remplacé par le texte suivant:
À l'article 36, les termes «du système central de l'EES» sont remplacés par les termes «du système central de l'EES et du CIR».
L'article 37 est modifié comme suit:
le premier alinéa du paragraphe 1 est remplacé par le texte suivant:
le premier alinéa du paragraphe 3 est remplacé par le texte suivant:
À l'article 46, paragraphe 1, le point suivant est ajouté:
«f) une référence à l'utilisation de l'ESP pour interroger l'EES conformément à l'article 7, paragraphe 2, du règlement (UE) 2019/817.».
L'article 63 est modifié comme suit:
le paragraphe 2 est remplacé par le texte suivant:
au paragraphe 4, l'alinéa suivant est ajouté:
«Les statistiques journalières sont stockées dans le répertoire central des rapports et statistiques.».
Article 61
Modifications du règlement (UE) 2018/1240
Le règlement (UE) 2018/1240 est modifié comme suit:
À l'article 1er, le paragraphe suivant est ajouté:
À l'article 3, paragraphe 1, les points suivants sont ajoutés:
|
«23) |
“CIR” : le répertoire commun de données d'identité établi par l'article 17, paragraphe 1, du règlement (UE) 2019/817; |
|
24) |
“ESP” : le portail de recherche européen créé par l'article 6, paragraphe 1, du règlement (UE) 2019/817; |
|
25) |
“système central ETIAS” : le système central visé à l'article 6, paragraphe 2, point a), ainsi que le CIR dans la mesure où le CIR contient les données visées à l'article 6, paragraphe 2 bis; |
|
26) |
“données d'identité” : les données visées à l'article 17, paragraphe 2, points a), b) et c); |
|
27) |
“données du document de voyage” : les données visées à l'article 17, paragraphe 2, points d) et e), et le code à trois lettres du pays de délivrance du document de voyage visé à l'article 19, paragraphe 3, point c).». |
À l'article 4, le point suivant est ajouté:
«g) contribuer à l'identification correcte des personnes.».
L'article 6 est modifié comme suit:
le paragraphe 2 est modifié comme suit:
le point a) est remplacé par le texte suivant:
«a) un système central, y compris la liste de surveillance ETIAS visée à l'article 34;»;
le point suivant est inséré:
«a bis) le CIR;»;
le point d) est remplacé par le texte suivant:
«d) une infrastructure de communication sécurisée entre le système central et les infrastructures centrales de l'ESP et le CIR;»;
le paragraphe suivant est inséré:
L'article 13 est modifié comme suit:
Le paragraphe suivant est inséré:
le paragraphe 5 est remplacé par le texte suivant:
À l'article 17, le paragraphe 2 est modifié comme suit:
le point a) est remplacé par le texte suivant:
«a) le nom (nom de famille), le ou les prénoms (le ou les surnoms), le nom à la naissance; la date de naissance, le lieu de naissance, le sexe, la nationalité actuelle;»;
le point suivant est inséré:
«a bis) le pays de naissance, le ou les prénom(s) des parents du demandeur;».
À l'article 19, paragraphe 4, les termes «l'article 17, paragraphe 2, point a)» sont remplacés par les termes «l'article 17, paragraphe 2, points a) et a bis)».
L'article 20 est modifié comme suit:
au paragraphe 2, le premier alinéa est remplacé par le texte suivant:
au paragraphe 4, les termes «l'article 17, paragraphe 2, points a), b), c), d), f), g), j), k), et m)» sont remplacés par les termes «l'article 17, paragraphe 2, points a), a bis), b), c), d), f), g), j), k),et m)»;
au paragraphe 5, les termes «l'article 17, paragraphe 2, points a), c), f), h) et i)» sont remplacés par les termes «l'article 17, paragraphe 2, points a), a bis), c), f), h) et i)».
À l'article 23, le paragraphe 1 est remplacé par le texte suivant:
Le système central ETIAS lance une recherche en utilisant l'ESP pour comparer les données pertinentes visées à l'article 17, paragraphe 2, points a), a bis), b) et d) aux données figurant dans le SIS en vue de déterminer si le demandeur fait l'objet de l'un des signalements suivants:
un signalement concernant des personnes disparues;
un signalement concernant des personnes recherchées dans le but de rendre possible leur concours dans le cadre d'une procédure judiciaire;
un signalement concernant des personnes aux fins de contrôles discrets ou de contrôles spécifiques.».
À l'article 52, le paragraphe suivant est inséré:
À l'article 53, le paragraphe suivant est inséré:
À l'article 65, paragraphe 3, cinquième alinéa, les termes «l'article 17, paragraphe 2, points a), b), d) e) et f)» sont remplacés par les termes «l'article 17, paragraphe 2, points a), a bis), b), d), e) et f)».
À l'article 69, paragraphe 1, le point suivant est inséré:
«c bis) s'il y a lieu, une référence à l'utilisation de l'ESP pour interroger le système central ETIAS conformément à l'article 7, paragraphe 2, du règlement (UE) 2019/817.».
À l'article 73, paragraphe 2, les termes «le répertoire central des données» sont remplacés par les termes «le répertoire central des rapports et statistiques visé à l'article 39 du règlement (UE) 2019/817 dans la mesure où il contient des données obtenues du système central ETIAS au titre de l'article 84 du présent règlement».
À l'article 74, paragraphe 1, le premier alinéa est remplacé par le texte suivant:
À l'article 84, paragraphe 2, le premier alinéa est remplacé par le texte suivant:
À l'article 84, paragraphe 4, l'alinéa suivant est ajouté:
«Les statistiques journalières sont stockées dans le répertoire central des rapports et statistiques visé à l'article 39 du règlement (UE) 2019/817.».
Article 62
Modifications du règlement (UE) 2018/1726
Le règlement (UE) 2018/1726 est modifié comme suit:
L'article 12 est remplacé par le texte suivant:
«Article 12
Qualité des données
À l'article 19, le paragraphe 1 est modifié comme suit:
le point suivant est inséré:
«ee bis) adopte les rapports sur l'état d'avancement du développement des éléments d'interopérabilité en vertu de l'article 78, paragraphe 2, du règlement (UE) 2019/817 et de l'article 74, paragraphe 2, du règlement (UE) 2019/818;»;
le point ff) est remplacé par le texte suivant:
«ff) adopte les rapports sur le fonctionnement technique du SIS conformément à l'article 60, paragraphe 7, du règlement (UE) 2018/1861 du Parlement européen et du Conseil ( *7 ) et à l'article 74, paragraphe 8, du règlement (UE) 2018/1862 du Parlement européen et du Conseil ( *8 ), du VIS conformément à l'article 50, paragraphe 3, du règlement (CE) no 767/2008 et à l'article 17, paragraphe 3, de la décision 2008/633/JAI, de l'EES conformément à l'article 72, paragraphe 4, du règlement (UE) 2017/2226, d'ETIAS conformément à l'article 92, paragraphe 4, du règlement (UE) 2018/1240, de l'ECRIS-TCN et de l'application de référence de l'ECRIS conformément à l'article 36, paragraphe 8, du règlement (UE) 2019/816 du Parlement et du Conseil ( *9 ) et des éléments d'interopérabilité conformément à l'article 78, paragraphe 3, du règlement (UE) 2019/817 et à l'article 74, paragraphe 3, du règlement (UE) 2019/818;
le point hh) est remplacé par le texte suivant:
«hh) adopte des observations formelles sur les rapports du Contrôleur européen de la protection des données relatifs à ses audits effectués conformément à l'article 56, paragraphe 2, du règlement (UE) 2018/1861, à l'article 42, paragraphe 2, du règlement (CE) no 767/2008, à l'article 31, paragraphe 2, du règlement (UE) no 603/2013, à l'article 56, paragraphe 2, du règlement (UE) 2017/2226, à l'article 67 du règlement (UE) 2018/1240, à l'article 29, paragraphe 2, du règlement (UE) 2019/816 et à l'article 52 des règlements (UE) 2019/817 et (UE) 2019/818 et veille à ce qu'il soit donné dûment suite à ces audits;»;
le point mm) est remplacé par le texte suivant:
«mm) veille à la publication annuelle de la liste des autorités compétentes autorisées à consulter directement les données introduites dans le SIS en vertu de l'article 41, paragraphe 8, du règlement (UE) 2018/1861 et de l'article 56, paragraphe 7, du règlement (UE) 2018/1862, de la liste des offices des systèmes nationaux du SIS (N.SIS) et des bureaux SIRENE visés, respectivement, à l'article 7, paragraphe 3, du règlement (UE) 2018/1861 et à l'article 7, paragraphe 3, du règlement (UE) 2018/1862, de la liste des autorités compétentes visées à l'article 65, paragraphe 2, du règlement (UE) 2017/2226, de la liste des autorités compétentes visées à l'article 87, paragraphe 2, du règlement (UE) 2018/1240, de la liste des autorités centrales visées à l'article 34, paragraphe 2, du règlement (UE) 2019/816 ainsi que de la liste des autorités visées à l'article 71, paragraphe 1, du règlement (UE) 2019/817 et à l'article 67, paragraphe 1, du règlement (UE) 2019/818;»;
À l'article 22, le paragraphe 4 est remplacé par le texte suivant:
L'Agence européenne de garde-frontières et de garde-côtes peut assister aux réunions du conseil d'administration en tant qu'observateur lorsqu'une question concernant le SIS, liée à l'application du règlement (UE) 2016/1624, figure à l'ordre du jour.
Europol peut assister aux réunions du conseil d'administration en tant qu'observateur lorsqu'une question concernant le VIS, liée à l'application de la décision 2008/633/JAI, ou lorsqu'une question concernant Eurodac, liée à l'application du règlement (UE) no 603/2013, est à l'ordre du jour.
Europol peut assister aux réunions du conseil d'administration en tant qu'observateur lorsqu'une question concernant l'EES, liée à l'application du règlement (UE) 2017/2226, figure à l'ordre du jour ou lorsqu'une question concernant ETIAS, liée à l'application du règlement (UE) 2018/1240, figure à l'ordre du jour.
L'Agence européenne de garde-frontières et de garde-côtes peut assister aux réunions du conseil d'administration en tant qu'observateur lorsqu'une question concernant ETIAS liée à l'application du règlement (UE) 2018/1240 figure à l'ordre du jour.
Eurojust, Europol et le Parquet européen peuvent assister aux réunions du conseil d'administration en tant qu'observateurs lorsqu'une question concernant le règlement (UE) 2019/816 figure à l'ordre du jour.
Eurojust, Europol et l'Agence européenne de garde-frontières et de garde-côtes peuvent assister aux réunions du conseil d'administration en tant qu'observateurs lorsqu'une question concernant les règlements (UE) 2019/817 et (UE) 2019/818 figure à l'ordre du jour.
Le conseil d'administration peut inviter toute autre personne dont l'avis peut présenter un intérêt à assister à ses réunions en qualité d'observateur.».
À l'article 24, paragraphe 3, le point p) est remplacé par le texte suivant:
«p) sans préjudice de l'article 17 du statut des fonctionnaires, de déterminer les exigences de confidentialité à respecter pour se conformer à l'article 17 du règlement (CE) no 1987/2006, à l'article 17 de la décision 2007/533/JAI, à l'article 26, paragraphe 9, du règlement (CE) no 767/2008, à l'article 4, paragraphe 4, du règlement (UE) no 603/2013, à l'article 37, paragraphe 4, du règlement (UE) 2017/2226, à l'article 74, paragraphe 2, du règlement (UE) 2018/1240, à l'article 11, paragraphe 16, du règlement (UE) 2019/816 et à l'article 55, paragraphe 2, des règlements (UE) 2019/817 et (UE) 2019/818;»;
L'article 27 est modifié comme suit:
au paragraphe 1, le point suivant est inséré:
«d ter) le groupe consultatif sur l’interopérabilité;»;
le paragraphe 3 est remplacé par le texte suivant:
Europol peut également désigner un représentant au sein des groupes consultatifs sur le VIS, sur Eurodac et sur l'EES-ETIAS.
L'Agence européenne de garde-frontières et de garde-côtes peut également désigner un représentant au sein du groupe consultatif sur l'EES-ETIAS.
Eurojust, Europol et le Parquet européen peuvent chacun désigner un représentant au sein du groupe consultatif sur l'ECRIS-TCN.
Europol, Eurojust et l'Agence européenne de garde-frontières et de garde-côtes peuvent chacun désigner un représentant au sein du groupe consultatif sur l'interopérabilité.».
Article 63
Modifications du règlement (UE) 2018/1861
Le règlement (UE) 2018/1861 est modifié comme suit:
À l'article 3, les points suivants sont ajoutés:
|
«22) |
“ESP” : le portail de recherche européen créé par l'article 6, paragraphe 1, du règlement (UE) 2019/817 du Parlement européen et du Conseil ( *10 ); |
|
23) |
«BMS partagé» : le service partagé d'établissement de correspondances biométriques établi par l'article 12, paragraphe 1, du règlement (UE) 2019/817; |
|
24) |
«CIR» : le répertoire commun de données d'identité établi par l'article 17, paragraphe 1, du règlement (UE) 2019/817; |
|
25) |
«MID» : le détecteur d'identités multiples établi par l'article 25, paragraphe 1, du règlement (UE) 2019/817; |
L'article 4 est modifié comme suit:
au paragraphe 1, les points b) et c) sont remplacés par le texte suivant:
d'un système national (ci-après dénommé “N.SIS”) dans chaque État membre, constitué des systèmes de données nationaux reliés au SIS central, y compris au moins un N.SIS de secours national ou partagé;
d'une infrastructure de communication entre le CS-SIS, le CS-SIS de secours et le NI-SIS de secours (ci-après dénommée “infrastructure de communication”), fournissant un réseau virtuel crypté consacré aux données du SIS et à l'échange de données entre les bureaux SIRENE visés à l'article 7, paragraphe 2; et
d'une infrastructure de communication sécurisée entre le CS-SIS et les infrastructures centrales de l'ESP, du BMS partagé et du MID.».
Les paragraphes suivants sont ajoutés:
À l'article 7, le paragraphe suivant est inséré:
À l'article 12, le paragraphe 1 est remplacé par le texte suivant:
Les États membres veillent à ce que chaque accès à des données à caractère personnel par l'intermédiaire de l'ESP soit également consigné afin de pouvoir contrôler la licéité de la consultation et la licéité du traitement des données, d'assurer un autocontrôle, ainsi que l'intégrité et la sécurité des données.».
À l'article 34, paragraphe 1, le point suivant est ajouté:
«g) de la vérification des identités différentes et de la lutte contre la fraude à l'identité conformément au chapitre V du règlement (UE) 2019/817.».
À l'article 60, le paragraphe 6 est remplacé par le texte suivant:
L'eu-LISA permet à la Commission et aux organismes visés au paragraphe 5 du présent article d'obtenir des rapports et des statistiques sur mesure. Sur demande, l'eu-LISA accorde l'accès au répertoire central des rapports et statistiques conformément à l'article 39 du règlement (UE) 2019/817 aux États membres, à la Commission, à Europol et à l'Agence européenne de garde-frontières et de garde-côtes.».
Article 64
Modification de la décision 2004/512/CE
À l'article 1er de la décision 2004/512/CE, le paragraphe 2 est remplacé par le texte suivant:
Le système d'information sur les visas repose sur une architecture centralisée et comprend:
l'infrastructure centrale du répertoire commun de données d'identité visée à l'article 17, paragraphe 2, point a), du règlement (UE) 2019/817 du Parlement européen et du Conseil ( *11 );
un système d'information central, ci-après dénommé «le système central d'information sur les visas» (CS-VIS);
une interface dans chaque État membre, ci-après dénommée «l'interface nationale» (NI-VIS) pour assurer la connexion avec l'autorité centrale nationale compétente de l'État membre concerné;
une infrastructure de communication entre le système central d'information sur les visas et les interfaces nationales;
un canal de communication sécurisé entre le système central de l'EES et le CS-VIS;
une infrastructure de communication sécurisée entre le système central du VIS et l'infrastructure centrale du portail de recherche européen créé par l'article 6, paragraphe 1, du règlement (UE) 2019/817 et du répertoire commun de données d'identité établi par l'article 17, paragraphe 1, du règlement (UE) 2019/817.
Article 65
Modifications de la décision 2008/633/JAI
La décision 2008/633/JAI est modifiée comme suit:
À l'article 5, le paragraphe suivant est inséré:
À l'article 7, le paragraphe suivant est inséré:
CHAPITRE X
Dispositions finales
Article 66
Établissement de rapports et de statistiques
Le personnel dûment autorisé des autorités compétentes des États membres, de la Commission et de l'eu-LISA a accès en consultation aux données énumérées ci-après concernant l'ESP, uniquement aux fins de l'établissement de rapports et de statistiques:
le nombre de requêtes par profil d'utilisateur de l'ESP;
le nombre de requêtes adressées à chacune des bases de données d'Interpol.
Il n'est pas possible d'identifier des personnes à partir de ces données.
Le personnel dûment autorisé des autorités compétentes des États membres, de la Commission et de l'eu-LISA a accès en consultation aux données énumérées ci-après concernant le CIR, uniquement aux fins de l'établissement de rapports et de statistiques:
le nombre de requêtes aux fins des articles 20, 21 et 22;
la nationalité, le genre et l'année de naissance de la personne;
le type de document de voyage et le code à trois lettres du pays de délivrance;
le nombre de recherches effectuées avec et sans données biométriques.
Il n'est pas possible d'identifier des personnes à partir de ces données.
Le personnel dûment autorisé des autorités compétentes des États membres, de la Commission et de l'eu-LISA a accès en consultation aux données énumérées ci-après concernant le MID, uniquement aux fins de l'établissement de rapports et de statistiques:
le nombre de recherches effectuées avec et sans données biométriques;
le nombre de chaque type de lien et les systèmes d'information de l'UE contenant les données liées;
la durée pendant laquelle un lien jaune et rouge est demeuré dans le système.
Il n'est pas possible d'identifier des personnes à partir de ces données.
Article 67
Période transitoire pour l'utilisation du portail de recherche européen
Article 68
Période transitoire applicable aux dispositions relatives à l'accès au répertoire commun de données d'identité à des fins de prévention ou de détection des infractions terroristes ou d'autres infractions pénales graves, ou d'enquêtes en la matière
L'article 22, l'article 60, points 8) et 9), l'article 61, points 10) et 11), et l'article 65 s'appliquent à partir de la date de mise en service du CIR visée à l'article 72, paragraphe 3.
Article 69
Période transitoire pour la détection d'identités multiples
Lorsque la recherche génère une ou plusieurs correspondances et que les données d'identité dans les dossiers liés ne peuvent pas être considérées comme similaires, un lien jaune est créé conformément à l'article 30 et la procédure visée à l'article 29 s'applique.
Lorsque plusieurs correspondances sont générées, un lien est créé entre chaque élément de donnée ayant donné lieu à la correspondance.
Article 70
Coûts
Les coûts suivants ne sont pas admissibles:
coûts afférents au bureau de gestion de projet des États membres (réunions, missions, locaux);
hébergement des systèmes d'information nationaux (espace, mise en œuvre, électricité, refroidissement);
fonctionnement des systèmes d'information nationaux (contrats conclus avec les opérateurs et contrats d'appui);
conception, développement, mise en œuvre, fonctionnement et maintenance des réseaux de communication nationaux.
Les coûts encourus par Europol, y compris ceux afférents à la connexion au CIR, sont à la charge d'Europol.
Article 71
Notifications
Une liste consolidée de ces autorités est publiée au Journal officiel de l'Union européenne dans un délai de trois mois à compter de la date à laquelle chaque élément d'interopérabilité a été mis en service conformément à l'article 72. En cas de modifications apportées à cette liste, l'eu-LISA publie une fois par an une version consolidée actualisée.
Article 72
Mise en service
La Commission détermine, par la voie d'un acte d'exécution, la date de mise en service de l'ESP, dès que les conditions suivantes sont remplies:
les mesures visées à l'article 8, paragraphe 2, à l'article 9, paragraphe 7, et à l'article 43, paragraphe 5, ont été adoptées;
L'eu-LISA a déclaré que les essais complets de l'ESP, qu'elle a menés en coopération avec les autorités des États membres et les agences de l'Union autorisées à utiliser l'ESP, étaient concluants;
l'eu-LISA a validé les aménagements techniques et juridiques nécessaires pour recueillir et transmettre les données visées à l'article 8, paragraphe 1, et les a notifiés à la Commission.
L'ESP interroge les bases de données d'Interpol uniquement lorsque les aménagements techniques permettent de se conformer à l'article 9, paragraphe 5. S'il est impossible de respecter l'article 9, paragraphe 5, l'ESP n'interroge pas les bases de données d'Interpol, sans que la mise en service de l'ESP ne soit pour autant retardée.
La Commission fixe la date visée au premier alinéa dans un délai de trente jours à compter de la date d'adoption de l'acte d'exécution.
La Commission détermine, par la voie d'un acte d'exécution, la date de mise en service du BMS partagé, dès que les conditions suivantes sont remplies:
les mesures visées à l'article 13, paragraphe 5, et à l'article 43, paragraphe 5, ont été adoptées;
l'eu-LISA a déclaré que les essais complets du BMS partagé qu'elle a menés en coopération avec les autorités des États membres étaient concluants;
l'eu-LISA a validé les aménagements techniques et juridiques nécessaires pour recueillir et transmettre les données visées à l'article 13 et les a notifiés à la Commission;
l'eu-LISA a déclaré que les essais visés au paragraphe 5, point b), étaient concluants.
La Commission fixe la date visée au premier alinéa dans un délai de trente jours à compter de la date de l'adoption de l'acte d'exécution.
La Commission détermine, par la voie d'un acte d'exécution, la date de mise en service du CIR, dès que les conditions suivantes sont remplies:
les mesures visées à l'article 43, paragraphe 5, et à l'article 78, paragraphe 10, ont été adoptées;
L'eu-LISA a déclaré que les essais complets du CIR qu'elle a menés en coopération avec les autorités des États membres étaient concluants;
l'eu-LISA a validé les aménagements techniques et juridiques nécessaires pour recueillir et transmettre les données visées à l'article 18 et les a notifiés à la Commission;
l'eu-LISA a déclaré que les essais visés au paragraphe 5, point b), étaient concluants.
La Commission fixe la date visée au premier alinéa dans un délai de trente jours à compter de la date de l'adoption de l'acte d'exécution.
La Commission détermine, par la voie d'un acte d'exécution, la date de mise en service du MID, dès que les conditions suivantes sont remplies:
les mesures visées à l'article 28, paragraphes 5 et 7, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 43, paragraphe 5, et à l'article 49, paragraphe 6, ont été adoptées;
l'eu-LISA a déclaré que les essais complets du MID, qu'elle a menés en coopération avec les autorités des États membres et l'unité centrale ETIAS, étaient concluants;
l'eu-LISA a validé les aménagements techniques et juridiques nécessaires pour recueillir et transmettre les données visées à l'article 34 et les a notifiés à la Commission;
L'unité centrale ETIAS a adressé à la Commission la notification visée à l'article 71, paragraphe 3;
l'eu-LISA a déclaré que les essais visés aux paragraphes 1, point b), 2, point b), 3, point b), et 5, point b), étaient concluants.
La Commission fixe la date visée au premier alinéa dans un délai de trente jours à compter de la date de l'adoption de l'acte d'exécution.
La Commission détermine, par la voie d'actes d'exécution, la date à partir de laquelle les mécanismes et procédures automatisés de contrôle de la qualité des données, les indicateurs communs de qualité des données et les normes de qualité minimales doivent être utilisés, dès que les conditions suivantes sont remplies:
les mesures visées à l'article 37, paragraphe 4, ont été adoptées;
l'eu-LISA a déclaré que les essais complets relatifs aux mécanismes et procédures automatisés de contrôle de la qualité des données, aux indicateurs communs de qualité des données et aux normes de qualité minimales, qu'elle a menés en coopération avec les autorités des États membres, étaient concluants;
La Commission fixe la date visée au premier alinéa dans un délai de trente jours à compter de la date de l'adoption de l'acte d'exécution.
La Commission détermine, par la voie d'un acte d'exécution, la date de mise en service du CRRS, dès que les conditions suivantes sont remplies:
les mesures visées à l'article 39, paragraphe 5, et à l'article 43, paragraphe 5, ont été adoptées;
l'eu-LISA a déclaré que les essais complets du CRRS qu'elle a menés en coopération avec les autorités des États membres étaient concluants;
l'eu-LISA a validé les aménagements techniques et juridiques nécessaires pour recueillir et transmettre les données visées à l'article 39 et les a notifiés à la Commission.
La Commission fixe la date visée au premier alinéa dans un délai de trente jours à compter de la date de l'adoption de l'acte d'exécution.
Article 73
Exercice de la délégation
Article 74
Comité
Lorsque le comité n'émet aucun avis, la Commission n'adopte pas le projet d'acte d'exécution, et l'article 5, paragraphe 4, troisième alinéa, du règlement (UE) no 182/2011 s'applique.
Article 75
Groupe consultatif
L'eu-LISA crée un groupe consultatif sur l'interopérabilité. Durant la phase de conception et de développement des éléments d'interopérabilité, l'article 54, paragraphes 4, 5 et 6, s'applique.
Article 76
Formation
L'eu-LISA s'acquitte des tâches liées à l'offre d'une formation relative à l'utilisation technique des éléments d'interopérabilité conformément au règlement (UE) 2018/1726.
Les autorités des États membres et les agences de l'Union proposent, à l'intention des membres de leur personnel autorisés à traiter des données par le biais des éléments d'interopérabilité, un programme de formation approprié sur la sécurité des données, la qualité des données et les règles en matière de protection des données ainsi que sur les procédures applicables au traitement des données et les obligations d'informer prévues à l'article 32, paragraphe 4, à l'article 33, paragraphe 4, et à l'article 47.
Le cas échéant, des formations communes sur ces sujets sont organisées au niveau de l'Union afin de renforcer la coopération et l'échange de meilleures pratiques entre les membres du personnel des autorités des États membres et des agences de l'Union qui sont autorisés à traiter les données par le biais des éléments d'interopérabilité. Une attention particulière est accordée au processus de détection d'identités multiples, y compris la vérification manuelle des différentes identités et le besoin qui s'ensuit de maintenir des garanties en ce qui concerne les droits fondamentaux.
Article 77
Manuel pratique
La Commission, en étroite coopération avec les États membres, l'eu-LISA et les autres agences de l'Union concernées, met à disposition un manuel pratique sur la mise en œuvre et la gestion des éléments d'interopérabilité. Le manuel pratique contient des orientations techniques et opérationnelles, des recommandations et des bonnes pratiques. La Commission adopte le manuel pratique sous la forme d'une recommandation.
Article 78
Suivi et évaluation
En outre, un an après chaque rapport de l'eu-LISA, la Commission réalise une évaluation globale des éléments d'interopérabilité, y compris:
une évaluation de l'application du présent règlement;
un examen des résultats obtenus par rapport aux objectifs du présent règlement et de son impact sur les droits fondamentaux, notamment une évaluation de l'incidence des éléments d'interopérabilité sur le droit à la non-discrimination;
une évaluation du fonctionnement du portail en ligne, y compris des chiffres concernant son utilisation ainsi que le nombre de demandes traitées avec succès;
une évaluation permettant de déterminer si les principes de base des éléments d'interopérabilité restent valables;
une évaluation de la sécurité des éléments d'interopérabilité;
une évaluation de l'utilisation du CIR à des fins d'identification;
une évaluation de l'utilisation du CIR à des fins de prévention ou de détection des infractions terroristes ou d'autres infractions pénales graves, ou d'enquêtes en la matière;
une évaluation de toute conséquence y compris toute incidence disproportionnée sur la fluidité du trafic aux points de passage frontaliers et les conséquences ayant un impact sur le budget général de l'Union;
une évaluation des recherches effectuées dans les bases de données d'Interpol via l'ESP, y compris des informations sur le nombre de correspondances dans les bases de données d'Interpol et des informations sur tout problème rencontré.
Les évaluations globales prévues au premier alinéa du présent paragraphe comprennent les éventuelles recommandations nécessaires. La Commission transmet le rapport d'évaluation au Parlement européen, au Conseil, au Contrôleur européen de la protection des données et à l'Agence des droits fondamentaux de l'Union européenne.
Tout en respectant les dispositions du droit national relatives à la publication d'informations sensibles, et sans préjudice des restrictions nécessaires pour protéger la sécurité et l'ordre public, prévenir la criminalité et garantir qu'aucune enquête nationale ne sera compromise, chaque État membre et Europol établissent des rapports annuels sur l'efficacité de l'accès aux données stockées dans le CIR à des fins de prévention ou de détection des infractions terroristes ou d'autres infractions pénales graves, ou d'enquêtes en la matière, comportant des informations et des statistiques sur:
les finalités précises de la consultation, notamment les types d'infractions terroristes ou autres infractions pénales graves;
les motifs raisonnables invoqués qui permettent de soupçonner de manière justifiée que le suspect, l'auteur ou la victime relève du règlement (UE) 2017/2226, du règlement (CE) no 767/2008 ou du règlement (UE) 2018/1240;
le nombre de demandes d'accès au CIR aux fins de la prévention ou de la détection des infractions terroristes ou d'autres infractions pénales graves, ou des enquêtes en la matière;
le nombre et les types de cas qui ont permis une identification;
la nécessité de disposer de procédures exceptionnelles dans les cas d'urgence et l'usage qui en a été fait, y compris lorsque le caractère urgent n'a pas été validé par le point d'accès central lors de la vérification a posteriori.
Les rapports annuels préparés par les États membres et par Europol sont transmis à la Commission au plus tard le 30 juin de l'année suivante.
Article 79
Entrée en vigueur et applicabilité
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.
Les dispositions du présent règlement relatives à l'ESP s'appliquent à compter de la date déterminée par la Commission conformément à l'article 72, paragraphe 1.
Les dispositions du présent règlement relatives au BMS partagé s'appliquent à compter de la date déterminée par la Commission conformément à l'article 72, paragraphe 2.
Les dispositions du présent règlement relatives au CIR s'appliquent à compter de la date déterminée par la Commission conformément à l'article 72, paragraphe 3.
Les dispositions du présent règlement relatives au MID s'appliquent à compter de la date déterminée par la Commission conformément à l'article 72, paragraphe 4.
Les dispositions du présent règlement relatives aux mécanismes et procédures automatisés de contrôle de la qualité des données, aux indicateurs communs de qualité des données et aux normes de qualité minimales s'appliquent, respectivement, à compter des dates déterminées par la Commission conformément à l'article 72, paragraphe 5.
Les dispositions du présent règlement relatives au CRRS s'appliquent à compter de la date déterminée par la Commission conformément à l'article 72, paragraphe 6.
Les articles 6, 12, 17, 25, 38, 42, 54, 56, 57, 70, 71, 73, 74, 75, 77 et l'article 78, paragraphe 1, s'appliquent à compter du 11 juin 2019.
En ce qui concerne Eurodac, le présent règlement s'applique à partir de la date d'application de la refonte du règlement (UE) no 603/2013.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.
( 1 ) Règlement (UE) 2019/818 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine de la coopération policière et judiciaire, de l'asile et de l'immigration et modifiant les règlements (UE) 2018/1726, (UE) 2018/1862 et (UE) 2019/816 (voir page 85 du présent Journal officiel).
( 2 ) Directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil (JO L 88 du 31.3.2017, p. 6).
( 3 ) Décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d'arrêt européen et aux procédures de remise entre États membres (JO L 190 du 18.7.2002, p. 1).
( 4 ) Règlement (UE) no 603/2013 du Parlement européen et du Conseil du 26 juin 2013 relatif à la création d'Eurodac pour la comparaison des empreintes digitales aux fins de l'application efficace du règlement (UE) no 604/2013 établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale introduite dans l'un des États membres par un ressortissant de pays tiers ou un apatride et relatif aux demandes de comparaison avec les données d'Eurodac présentées par les autorités répressives des États membres et Europol à des fins répressives, et modifiant le règlement (UE) no 1077/2011 portant création d'une agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice (JO L 180 du 29.6.2013, p. 1).
( 5 ) Règlement (UE) 2019/816 du Parlement européen et du Conseil du 17 avril 2019 portant création d'un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d'information sur les casiers judiciaires, et modifiant le règlement (UE) 2018/1726 (voir page 1 du présent Journal officiel).
( 6 ) Règlement (CE) no 168/2007 du Conseil du 15 février 2007 portant création d'une Agence des droits fondamentaux de l'Union européenne (JO L 53 du 22.2.2007, p. 1).
( *1 ) Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27).».
( *2 ) Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27).».
( *3 ) Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27).».
( *4 ) Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27).».
( *5 ) Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27).
( *6 ) Règlement (UE) 2019/818 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine de la coopération policière et judiciaire, de l'asile et de l'immigration et modifiant les règlements (UE) 2018/1726, (UE) 2018/1862 et (UE) 2019/816 (JO L 135 du 22.5.2019, p. 85).».
( *7 ) Règlement (UE) 2018/1861 du Parlement européen et du Conseil du 28 novembre 2018 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine des vérifications aux frontières, modifiant la convention d'application de l'accord de Schengen et modifiant et abrogeant le règlement (CE) no 1987/2006 (JO L 312 du 7.12.2018, p. 14).
( *8 ) Règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) no 1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission (JO L 312 du 7.12.2018, p. 56).
( *9 ) Règlement (UE) 2019/816 du Parlement européen et du Conseil du 17 avril 2019 portant création d'un système centralisé permettant d'identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d'information sur les casiers judiciaires, et modifiant le règlement (UE) 2018/1726 (JO L 135 du 22.5.2019, p. 1).»;
( *10 ) Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27).».
( *11 ) Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27).».
( *12 ) Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27).».
( 7 ) Règlement (UE) 2016/1624 du Parlement européen et du Conseil du 14 septembre 2016 relatif au corps européen de garde-frontières et de garde-côtes, modifiant le règlement (UE) 2016/399 du Parlement européen et du Conseil et abrogeant le règlement (CE) no 863/2007 du Parlement européen et du Conseil, le règlement (CE) no 2007/2004 du Conseil et la décision 2005/267/CE du Conseil (JO L 251 du 16.9.2016, p. 1).