1.   Un ensemble de données de base est renvoyé par l’intermédiaire du routeur dans un délai de 48 heures à compter du moment où toutes les conditions suivantes sont remplies:

2.   Lorsque, selon son droit national, un État membre ne peut fournir un ensemble précis de données de base qu’après avoir obtenu une autorisation judiciaire, cet État membre peut déroger au délai énoncé au paragraphe 1 dans la mesure où cela est nécessaire pour obtenir cette autorisation.

3.   L’ensemble de données de base visé au paragraphe 1 du présent article est renvoyé par l’État membre requis ou, dans le cas de profils ADN visés à l’article 6, paragraphe 7, par l’État membre requérant.

4.   Lorsque la concordance confirmée concerne les données identifiées d’une personne, l’ensemble de données de base visé au paragraphe 1 contient les données suivantes dans la mesure où elles sont disponibles:

5.   Lorsque la concordance confirmée concerne des données ou des traces non identifiées, l’ensemble de données de base visé au paragraphe 1 contient les données suivantes dans la mesure où elles sont disponibles:

6.   Le renvoi des données de base par l’État membre requis ou, dans le cas de profils ADN visés à l’article 6, paragraphe 7, par l’État membre requérant, est subordonné à la décision d’un être humain.

1.   Conformément au règlement (UE) 2016/794, les États membres ont accès aux données biométriques qui ont été fournies à Europol par des pays tiers aux fins de l’article 18, paragraphe 2, points a), b) et c), du règlement (UE) 2016/794, et peuvent les consulter par l’intermédiaire du routeur.

2.   Lorsqu’une consultation visée au paragraphe 1 met en évidence une concordance entre les données utilisées aux fins de la consultation et les données fournies par un pays tiers et stockées par Europol, le suivi a lieu conformément au règlement (UE) 2016/794.

1.   Lorsque cela est nécessaire pour atteindre les objectifs énoncés à l’article 3 du règlement (UE) 2016/794, Europol a accès, conformément audit règlement et au présent règlement, aux données qui sont stockées par les États membres dans leurs bases de données nationales et dans leurs index nationaux des fichiers de police.

2.   Les interrogations d’Europol ayant des données biométriques pour critère de recherche sont effectuées à l’aide du routeur.

3.   Les interrogations d’Europol ayant des données relatives à l’immatriculation des véhicules pour critère de recherche sont effectuées à l’aide d’Eucaris.

4.   Les interrogations d’Europol ayant des données biographiques de suspects et de personnes condamnées visées à l’article 25 pour critère de recherche sont effectuées à l’aide de l’EPRIS.

5.   Europol n’effectue des consultations avec les données fournies par des pays tiers conformément aux paragraphes 1 à 4 du présent article que lorsque cela est nécessaire à l’exécution de ses missions pour les finalités visées à l’article 18, paragraphe 2, points a) et c), du règlement (UE) 2016/794.

6.   Lorsque les procédures visées à l’article 6, 11 ou 20 révèlent une concordance entre les données utilisées aux fins de la consultation et les données détenues dans la base de données nationale du ou des États membres requis, Europol n’informe que l’État membre ou les États membres impliqués.

L’État membre requis décide de renvoyer ou non un ensemble de données de base par l’intermédiaire du routeur dans les 48 heures à compter du moment où toutes les conditions suivantes sont remplies:

Lorsque, selon son droit national, un État membre ne peut fournir un ensemble précis de données de base qu’après avoir obtenu une autorisation judiciaire, cet État membre peut déroger au délai énoncé au deuxième alinéa dans la mesure où cela est nécessaire pour obtenir cette autorisation.

Lorsque la concordance confirmée concerne les données identifiées d’une personne, l’ensemble de données de base visé au deuxième alinéa contient les données suivantes dans la mesure où elles sont disponibles:

Lorsque la concordance confirmée concerne des données ou des traces non identifiées, l’ensemble de données de base visé au deuxième alinéa contient les données suivantes dans la mesure où elles sont disponibles:

Le renvoi de données de base par l’État membre requis est subordonné à la décision d’un être humain.

7.   L’utilisation par Europol des informations obtenues à la suite d’une interrogation effectuée conformément au présent article et de l’échange d’un ensemble de données de base conformément au paragraphe 6 est soumise au consentement de l’État membre dans la base de données duquel la concordance a été mise en évidence. Lorsque ledit État membre autorise l’utilisation de ces informations, leur traitement par Europol est régi par le règlement (UE) 2016/794.

1.   Le traitement des données à caractère personnel reçues par un État membre ou par Europol est autorisé uniquement aux fins pour lesquelles les données ont été transmises par l’État membre qui a fourni les données conformément au présent règlement. Le traitement à d’autres fins n’est autorisé qu’avec l’autorisation préalable de l’État membre qui a fourni les données.

2.   Le traitement des données transmises par un État membre ou par Europol en vertu de l’article 6, 11, 16, 20 ou 26 est autorisé uniquement lorsque cela est nécessaire aux fins suivantes:

3.   Les données reçues par les États membres ou Europol sont effacées immédiatement après les réponses automatisées aux consultations, à moins que la poursuite du traitement ne soit nécessaire aux fins visées au paragraphe 2 ou autorisée conformément au paragraphe 1.

4.   Avant de connecter leurs bases de données nationales au routeur ou à l’EPRIS, les États membres effectuent une analyse d’impact relative à la protection des données conformément à l’article 27 de la directive (UE) 2016/680 et, le cas échéant, consultent l’autorité de contrôle comme le prévoit l’article 28 de ladite directive. L’autorité de contrôle peut faire usage des pouvoirs dont elle dispose au titre de l’article 47 de ladite directive, conformément à l’article 28, paragraphe 5, de ladite directive.

1.   Les États membres et Europol s’assurent de l’exactitude et de la pertinence des données à caractère personnel qui sont traitées en vertu du présent règlement. Lorsqu’un État membre ou Europol se rend compte que des données qui sont inexactes ou qui ne sont plus d’actualité ou des données qui n’auraient pas dû être transmises ont été transmises, il le notifie à l’État membre qui a reçu les données ou à Europol sans retard injustifié. Tous les États membres concernés ou Europol rectifient ou suppriment les données en conséquence sans retard injustifié. Lorsque l’État membre qui a reçu les données ou Europol a des raisons de penser que les données transmises sont inexactes ou devraient être supprimées, il en informe l’État membre qui a fourni les données sans retard injustifié.

2.   Les États membres et Europol mettent en place des mesures appropriées pour mettre à jour les données pertinentes aux fins du présent règlement.

3.   Lorsqu’une personne concernée conteste l’exactitude des données en la possession d’un État membre ou d’Europol, lorsque l’exactitude ne peut être établie de manière fiable par l’État membre concerné ou Europol et lorsque la personne concernée le demande, les données concernées sont marquées. Les États membres ou Europol peuvent lever un tel marquage uniquement avec l’autorisation de la personne concernée ou sur le fondement d’une décision de la juridiction compétente, de l’autorité de contrôle ou du Contrôleur européen de la protection des données, selon le cas.

4.   Les données qui n’auraient pas dû être transmises ou reçues sont supprimées. Les données qui ont été légalement transmises et reçues sont supprimées:

Lorsqu’il y a des raisons de penser que la suppression des données porterait atteinte aux intérêts de la personne concernée, ces données font l’objet d’une limitation de traitement au lieu d’être supprimées. Les données qui font l’objet d’une limitation de traitement sont traitées uniquement aux fins qui ont empêché leur suppression.

1.   L’eu-LISA est le sous-traitant au sens de l’article 3, point 12), du règlement (UE) 2018/1725 pour le traitement des données à caractère personnel par l’intermédiaire du routeur.

2.   Europol est le sous-traitant au sens de l’article 3, point 12), du règlement (UE) 2018/1725 pour le traitement des données à caractère personnel par l’intermédiaire de l’EPRIS.

1.   Les autorités compétentes des États membres, l’eu-LISA et Europol veillent à la sécurité du traitement des données à caractère personnel au titre du présent règlement. Les autorités compétentes des États membres, l’eu-LISA et Europol coopèrent pour les tâches liées à la sécurité.

2.   Sans préjudice de l’article 33 du règlement (UE) 2018/1725 et de l’article 32 du règlement (UE) 2016/794, l’eu-LISA et Europol prennent les mesures nécessaires pour garantir la sécurité du routeur et de l’EPRIS, respectivement, et de leurs infrastructures de communication connexes.

3.   L’eu-LISA adopte les mesures nécessaires concernant le routeur et Europol adopte les mesures \nécessaires concernant l’EPRIS afin:

Les mesures nécessaires visées au premier alinéa comprennent un plan de sécurité, un plan de continuité des activités et un plan de rétablissement après sinistre.

1.   Tout événement ayant ou pouvant avoir une incidence sur la sécurité du routeur ou de l’EPRIS et susceptible de causer des dommages ou des pertes aux données qui sont stockées dans le routeur ou dans l’EPRIS est considéré comme un incident de sécurité, en particulier lorsque des données peuvent avoir été consultées sans autorisation ou que la disponibilité, l’intégrité et la confidentialité des données ont été ou peuvent avoir été compromises.

2.   En cas d’incident de sécurité concernant le routeur, l’eu-LISA et les États membres concernés ou, selon le cas, Europol coopèrent entre eux afin d’assurer une réaction rapide, efficace et adéquate.

3.   En cas d’incident de sécurité concernant l’EPRIS, les États membres concernés et Europol coopèrent entre eux afin d’assurer une réaction rapide, efficace et adéquate.

4.   Les États membres notifient à leurs autorités compétentes tout incident de sécurité sans retard injustifié.

Sans préjudice de l’article 92 du règlement (UE) 2018/1725, en cas d’incident de sécurité lié à l’infrastructure centrale du routeur, l’eu-LISA notifie au service de cybersécurité pour les institutions, organes et organismes de l’Union (CERT-UE) les menaces informatiques importantes, les vulnérabilités importantes et les incidents importants sans retard injustifié et, en tout état de cause, au plus tard 24 heures après en avoir pris connaissance. Les détails techniques appropriés et exploitables concernant les menaces informatiques, les vulnérabilités et les incidents qui permettent une détection proactive, une réponse aux incidents ou des mesures d’atténuation sont divulgués au CERT-UE sans retard injustifié.

Sans préjudice de l’article 34 du règlement (UE) 2016/794 et de l’article 92 du règlement (UE) 2018/1725, en cas d’incident de sécurité lié à l’infrastructure centrale de l’EPRIS, Europol notifie au CERT-UE les menaces informatiques importantes, les vulnérabilités importantes et les incidents importants sans retard injustifié et, en tout état de cause, au plus tard 24 heures après en avoir pris connaissance. Les détails techniques appropriés et exploitables concernant les menaces informatiques, les vulnérabilités et les incidents qui permettent une détection proactive, une réponse aux incidents ou des mesures d’atténuation sont divulgués au CERT-UE sans retard injustifié.

5.   Les informations relatives à un incident de sécurité ayant ou pouvant avoir une incidence sur le fonctionnement du routeur ou sur la disponibilité, l’intégrité et la confidentialité des données sont communiquées sans tarder par les États membres et les agences de l’Union concernés aux États membres et à Europol et consignées conformément au plan de gestion des incidents qui doit être élaboré par l’eu-LISA.

6.   Les informations relatives à un incident de sécurité ayant ou pouvant avoir une incidence sur le fonctionnement de l’EPRIS ou sur la disponibilité, l’intégrité et la confidentialité des données sont communiquées sans tarder par les États membres et les agences de l’Union concernés aux États membres et consignées conformément au plan de gestion des incidents qui doit être élaboré par Europol.

1.   Les États membres veillent à ce que chaque autorité habilitée à utiliser le cadre Prüm II prenne les mesures nécessaires afin de contrôler qu’elle respecte le présent règlement et coopère, au besoin, avec l’autorité de contrôle. Europol prend les mesures nécessaires pour contrôler qu’elle respecte le présent règlement et coopère, le cas échéant, avec le Contrôleur européen de la protection des données.

2.   Les responsables du traitement mettent en œuvre les mesures nécessaires afin de contrôler efficacement la conformité des opérations de traitement des données au présent règlement, y compris en vérifiant fréquemment les registres visés aux articles 18, 40 et 45. Ils coopèrent, au besoin et comme il convient, avec les autorités de contrôle ou avec le Contrôleur européen de la protection des données.

1.   Le Contrôleur européen de la protection des données veille à ce que soit réalisé, tous les quatre ans au minimum, un audit des opérations de traitement des données à caractère personnel effectuées aux fins du présent règlement par l’eu-LISA et Europol, conformément aux normes internationales applicables en matière d’audit. Un rapport d’audit est communiqué au Parlement européen, au Conseil, à la Commission, aux États membres et à l’agence de l’Union concernée. L’eu-LISA et Europol ont la possibilité de formuler des observations avant l’adoption des rapports.

2.   L’eu-LISA et Europol transmettent au Contrôleur européen de la protection des données les renseignements qu’il demande et lui octroient l’accès à tous les documents qu’il demande et à leurs registres visés aux articles 40 et 45, et lui permettent d’accéder, à tout moment, à l’ensemble de leurs locaux. Le présent paragraphe est sans préjudice des pouvoirs dévolus au Contrôleur européen de la protection des données au titre de l’article 58 du règlement (UE) 2018/1725 et, en ce qui concerne Europol, au titre de l’article 43, paragraphe 3, du règlement (UE) 2016/794.

1.   Les autorités de contrôle et le Contrôleur européen de la protection des données, agissant chacun dans les limites de leurs compétences respectives, coopèrent activement dans le cadre de leurs responsabilités respectives pour assurer un contrôle coordonné de l’application du présent règlement, notamment si le Contrôleur européen de la protection des données ou une autorité de contrôle découvre des différences importantes entre les pratiques des États membres ou l’existence de transferts potentiellement illicites transitant par les canaux de communication du cadre Prüm II.

2.   Dans les cas visés au paragraphe 1 du présent article, un contrôle coordonné est assuré conformément à l’article 62 du règlement (UE) 2018/1725.

3.   Deux ans après l’entrée en service du router et de l’EPRIS et tous les deux ans par la suite, le comité européen de la protection des données envoie un rapport d’activités, au titre du présent article, au Parlement européen, au Conseil, à la Commission, à l’eu-LISA et à Europol. Ce rapport comporte un chapitre sur chaque État membre, établi par l’autorité de contrôle de l’État membre concerné.

1.   Chaque État membre est responsable:

2.   Chaque État membre est chargé de connecter ses autorités compétentes au routeur, à l’EPRIS et à Eucaris.

1.   Europol est responsable de la gestion de l’accès et des modalités d’accès au routeur, à l’EPRIS et à Eucaris de son personnel dûment autorisé, conformément au présent règlement.

2.   Europol est responsable du traitement des interrogations concernant des données d’Europol par le routeur. Europol adapte ses systèmes d’information en conséquence.

3.   Europol est responsable de toute adaptation technique de l’infrastructure d’Europol nécessaire à l’établissement de la connexion au routeur et à Eucaris.

4.   Sans préjudice des consultations effectuées par Europol en vertu de l’article 49, Europol n’a accès à aucune des données à caractère personnel traitées par l’intermédiaire de l’EPRIS.

5.   Europol est responsable du développement de l’EPRIS en coopération avec les États membres. L’EPRIS fournit les fonctionnalités prévues aux articles 42 à 46.

Europol est responsable de la gestion technique de l’EPRIS. La gestion technique de l’EPRIS comprend toutes les tâches et solutions techniques nécessaires au fonctionnement continu de l’infrastructure centrale de l’EPRIS et à la fourniture continue de services aux États membres, 24 heures sur 24 et sept jours sur sept, conformément au présent règlement. Elle comprend les travaux de maintenance et les perfectionnements techniques indispensables pour que l’EPRIS fonctionne à un niveau satisfaisant de qualité technique, notamment quant au temps de réponse pour soumettre des demandes aux bases de données nationales, conformément aux spécifications techniques.

6.   Europol assure la formation à l’utilisation technique de l’EPRIS.

7.   Europol est responsable des procédures prévues aux articles 48 et 49.

1.   L’eu-LISA veille à ce que l’infrastructure centrale du routeur soit exploitée conformément au présent règlement.

2.   Le routeur est hébergé par l’eu-LISA sur ses sites techniques et fournit les fonctionnalités prévues dans le présent règlement, conformément aux conditions de sécurité, de disponibilité, de qualité et de performance visées à l’article 67, paragraphe 1.

3.   L’eu-LISA est responsable du développement du routeur et de toute adaptation technique nécessaire au fonctionnement du routeur.

4.   L’eu-LISA n’a accès à aucune des données à caractère personnel traitées par l’intermédiaire du routeur.

5.   L’eu-LISA définit la conception de l’architecture physique du routeur, y compris de son infrastructure de communication sécurisée, ainsi que les spécifications techniques et son évolution en ce qui concerne l’infrastructure centrale et l’infrastructure de communication sécurisée. Le conseil d’administration de l’eu-LISA approuve la conception, sous réserve d’un avis favorable de la Commission. L’eu-LISA met également en œuvre toutes les adaptations nécessaires des éléments d’interopérabilité découlant de la mise en place du routeur, comme prévu par le présent règlement.

6.   L’eu-LISA développe et met en œuvre le routeur dès que possible après l’adoption par la Commission des mesures prévues à l’article 37, paragraphe 6. Ce développement consiste en l’élaboration et la mise en œuvre des spécifications techniques, en la réalisation d’essais et en la gestion et la coordination générales du projet.

7.   Au cours de la phase de conception et de développement, le conseil de gestion du programme visé à l’article 54 du règlement (UE) 2019/817 et à l’article 54 du règlement (UE) 2019/818 se réunit régulièrement. Il veille à la bonne gestion de la phase de conception et de développement du routeur.

Le conseil de gestion du programme soumet chaque mois au conseil d’administration de l’eu-LISA des rapports écrits sur l’état d’avancement du projet. Le conseil de gestion du programme n’a aucun pouvoir décisionnel ni aucun mandat lui permettant de représenter les membres du conseil d’administration de l’eu-LISA.

Le groupe consultatif sur l’interopérabilité visé à l’article 78 se réunit régulièrement jusqu’à la mise en service du routeur. Après chaque réunion, il rend compte au comité de gestion du programme. Il fournit l’expertise technique nécessaire à l’appui des tâches du conseil de gestion du programme et suit l’état de préparation des États membres.

1.   Après la mise en service du routeur, l’eu-LISA est responsable de la gestion technique de l’infrastructure centrale du routeur, y compris de sa maintenance et de ses évolutions technologiques. Elle veille, en coopération avec les États membres, à ce que la meilleure technologie disponible soit utilisée, sous réserve d’une analyse coûts-avantages. L’eu-LISA est également responsable de la gestion technique de l’infrastructure de communication nécessaire.

La gestion technique du routeur comprend toutes les tâches et solutions techniques nécessaires au fonctionnement continu du routeur et à la fourniture continue de services aux États membres et à Europol, 24 heures sur 24 et sept jours sur sept, conformément au présent règlement. Elle comprend les travaux de maintenance et les perfectionnements techniques indispensables pour que le routeur fonctionne à un niveau satisfaisant de qualité technique, notamment quant à la disponibilité et au temps de réponse pour soumettre des demandes aux bases de données nationales et aux données d’Europol, conformément aux spécifications techniques.

Le routeur est développé et géré de manière à garantir un accès rapide, efficace et contrôlé, une disponibilité totale et ininterrompue et un temps de réponse adapté aux besoins opérationnels des autorités compétentes des États membres et d’Europol.

2.   Sans préjudice de l’article 17 du statut des fonctionnaires de l’Union européenne fixé dans le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (18), l’eu-LISA applique des règles appropriées en matière de secret professionnel ou impose des obligations de confidentialité équivalentes à tous les membres de son personnel appelés à travailler avec des données conservées dans le routeur. Cette obligation continue de s’appliquer après que ces personnes ont cessé leurs fonctions ou quitté leur emploi ou après la cessation de leur activité.

L’eu-LISA n’a accès à aucune des données à caractère personnel traitées par le routeur.

3.   L’eu-LISA s’acquitte des tâches liées à la fourniture d’une formation à l’utilisation technique du routeur.

1.   Dans la décision 2008/615/JAI, l’article 1er, point a), les articles 2 à 6 et les sections 2 et 3 du chapitre 2 sont remplacés à l’égard des États membres liés par le présent règlement à compter de la date d’application des dispositions du présent règlement relatives au routeur énoncées à l’article 75, paragraphe 1. Par conséquent, l’article 1er, point a), les articles 2 à 6 et les sections 2 et 3 du chapitre 2 de la décision 2008/615/JAI sont supprimés à compter de la date d’application des dispositions du présent règlement relatives au routeur énoncées à l’article 75, paragraphe 1.

2.   Dans la décision 2008/616/JAI, les chapitres 2 à 5 et les articles 18, 20 et 21 sont remplacés à l’égard des États membres liés par le présent règlement à compter de la date d’application des dispositions du présent règlement relatives au routeur énoncées à l’article 75, paragraphe 1. Par conséquent, les chapitres 2 à 5 et les articles 18, 20 et 21 de la décision 2008/616/JAI sont supprimés à compter de la date d’application des dispositions du présent règlement relatives au routeur énoncées à l’article 75, paragraphe 1.

1.   Lorsque cela est nécessaire, le personnel dûment autorisé des autorités compétentes des États membres, de la Commission, de l’eu-LISA et d’Europol a accès aux données énumérées ci-après concernant le routeur, uniquement aux fins de l’établissement de rapports et de statistiques:

Il ne doit pas être possible d’identifier des personnes à partir des données énoncées au premier alinéa.

2.   Le personnel dûment autorisé des autorités compétentes des États membres, de la Commission et d’Europol a accès aux données énumérées ci-après concernant Eucaris, uniquement aux fins de l’établissement de rapports et de statistiques:

Il ne doit pas être possible d’identifier des personnes à partir des données énoncées au premier alinéa.

3.   Le personnel dûment autorisé des autorités compétentes des États membres, de la Commission et d’Europol a accès aux données énumérées ci-après concernant l’EPRIS, uniquement aux fins de l’établissement de rapports et de statistiques:

Il ne doit pas être possible d’identifier des personnes à partir des données énoncées au premier alinéa.

4.   L’eu-LISA stocke les données énoncées au paragraphe 1 du présent article dans le répertoire central des rapports et statistiques établi par l’article 39 du règlement (UE) 2019/818. Europol stocke les données énoncées au paragraphe 3. Ces données permettent aux autorités compétentes des États membres, à la Commission, à l’eu-LISA et à Europol d’obtenir des rapports et des statistiques personnalisables afin de renforcer l’efficacité de la coopération en matière répressive.

1.   Les coûts afférents à la création et au fonctionnement du routeur et de l’EPRIS sont à la charge du budget général de l’Union.

2.   Les coûts afférents à l’intégration des infrastructures nationales existantes et à leur connexion au routeur et à l’EPRIS, ainsi que les coûts afférents à la création de bases de données nationales d’images faciales et d’index nationaux des fichiers de police aux fins de la prévention et de la détection des infractions pénales et des enquêtes en la matière sont à la charge du budget général de l’Union.

Les coûts afférents à ce qui suit ne sont pas admissibles:

3.   Chaque État membre prend en charge les coûts afférents à la gestion, à l’utilisation et à la maintenance d’Eucaris.

4.   Chaque État membre prend en charge les coûts afférents à la gestion, à l’utilisation et à la maintenance de ses connexions au routeur et à l’EPRIS.

1.   Les États membres notifient à l’eu-LISA le nom des autorités compétentes visées à l’article 36. Ces autorités peuvent utiliser le routeur ou y avoir accès.

2.   L’eu-LISA notifie à la Commission les résultats concluants de l’essai visé à l’article 75, paragraphe 1, point b).

3.   Europol notifie à la Commission les résultats concluants de l’essai visé à l’article 75, paragraphe 3, point b).

4.   Chaque État membre notifie aux autres États membres, à la Commission, à l’eu-LISA et à Europol le contenu de ses bases de données ADN nationales et les conditions applicables aux consultations automatisées auxquelles s’appliquent les articles 5 et 6.

5.   Chaque État membre informe les autres États membres, la Commission, l’eu-LISA et Europol du contenu de ses bases de données dactyloscopiques nationales et des conditions applicables aux consultations automatisées auxquelles s’appliquent les articles 10 et 11.

6.   Chaque État membre informe les autres États membres, la Commission, l’eu-LISA et Europol du contenu de ses bases de données d’images faciales nationales et des conditions applicables aux consultations automatisées auxquelles s’appliquent les articles 19 et 20.

7.   Chaque État membre qui participe à des échanges automatisés de fichiers de police en vertu des articles 25 et 26 notifie aux autres États membres, à la Commission et à Europol le contenu de ses index nationaux des fichiers de police et des bases de données nationales utilisées pour l’établissement de ces index et les conditions applicables aux consultations automatisées.

8.   Les États membres notifient à la Commission, à l’eu-LISA et à Europol les noms de leurs points de contact nationaux désignés en vertu de l’article 30. La Commission dresse une liste des points de contact nationaux dont les noms lui ont été notifiés et met cette liste à la disposition de tous les États membres.

1.   La Commission fixe, par la voie d’un acte d’exécution, la date à compter de laquelle les États membres et Europol peuvent commencer à utiliser le routeur, dès que les conditions suivantes sont remplies:

La Commission fixe, par la voie de l’acte d’exécution visé au premier alinéa, la date à compter de laquelle les États membres et Europol doivent commencer à utiliser le routeur. Cette date est fixée à un an après la date fixée conformément au premier alinéa.

La Commission peut reporter la date à compter de laquelle les États membres et Europol doivent commencer à utiliser le routeur d’un an au maximum lorsqu’une évaluation de la mise en œuvre du routeur a montré la nécessité d’un tel report.

2.   Les États membres veillent, deux ans après la mise en service du routeur, à la disponibilité des images faciales visées à l’article 19, aux fins de la consultation automatisée d’images faciales visée à l’article 20.

3.   La Commission fixe, par la voie d’un acte d’exécution, la date à compter de laquelle les États membres et Europol doivent commencer à utiliser l’EPRIS, dès que les conditions suivantes sont remplies:

4.   La Commission fixe, par la voie d’un acte d’exécution, la date à compter de laquelle Europol doit mettre à la disposition des États membres les données biométriques obtenues auprès de pays tiers, conformément à l’article 48, dès que les conditions suivantes sont remplies:

5.   La Commission fixe, par la voie d’un acte d’exécution, la date à compter de laquelle Europol doit avoir accès aux données stockées dans les bases de données des États membres conformément à l’article 49, dès que les conditions suivantes sont remplies:

6.   Les actes d’exécution visés au présent article sont adoptés en conformité avec la procédure d’examen visée à l’article 77, paragraphe 2.

1.   Les États membres et les agences de l’Union commencent à appliquer les articles 19 à 22, l’article 47 et l’article 49, paragraphe 6, à compter de la date fixée conformément à l’article 75, paragraphe 1, premier alinéa, à l’exception des États membres qui n’ont pas commencé à utiliser le routeur.

2.   Les États membres et les agences de l’Union commencent à appliquer les articles 25 à 28 et l’article 49, paragraphe 4, à compter de la date fixée conformément à l’article 75, paragraphe 3.

3.   Les États membres et les agences de l’Union commencent à appliquer l’article 48 à compter de la date fixée conformément à l’article 75, paragraphe 4.

4.   Les États membres et les agences de l’Union commencent à appliquer l’article 49, paragraphes 1, 2, 3, 5 et 7, à compter de la date fixée conformément à l’article 75, paragraphe 5.

1.   La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2.   Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique. Lorsque le comité n’émet aucun avis, la Commission n’adopte pas le projet d’acte d’exécution et l’article 5, paragraphe 4, troisième alinéa, du règlement (UE) no 182/2011 s’applique.

1.   L’eu-LISA veille à ce que des procédures soient mises en place pour suivre le développement du routeur par rapport aux objectifs fixés en matière de planification et de coûts et suivre son fonctionnement par rapport aux objectifs fixés en matière de résultats techniques, de coût-efficacité, de sécurité et de qualité du service.

Europol veille à ce que des procédures soient mises en place pour suivre le développement de l’EPRIS par rapport aux objectifs fixés en matière de planification et de coûts et suivre son fonctionnement par rapport aux objectifs fixés en matière de résultats techniques, de coût-efficacité, de sécurité et de qualité du service.

2.   Au plus tard le 26 avril 2025, puis tous les ans pendant la phase de développement du routeur, l’eu-LISA présente au Parlement européen et au Conseil un rapport sur l’état d’avancement du développement du routeur. Ces rapports contiennent des informations détaillées sur les coûts encourus et des informations sur tout risque susceptible d’avoir une incidence sur les coûts globaux qui sont à la charge du budget général de l’Union en vertu de l’article 73.

Une fois le développement du routeur achevé, l’eu-LISA présente au Parlement européen et au Conseil un rapport qui explique en détail la manière dont les objectifs, en particulier ceux ayant trait à la planification et aux coûts, ont été atteints, et qui justifie les éventuels écarts.

3.   Au plus tard le 26 avril 2025, puis tous les ans pendant la phase de développement de l’EPRIS, Europol présente au Parlement européen et au Conseil un rapport sur l’état d’avancement du développement de l’EPRIS. Ces rapports contiennent des informations détaillées sur les coûts encourus et des informations sur tout risque susceptible d’avoir une incidence sur les coûts globaux qui sont à la charge du budget général de l’Union en vertu de l’article 73.

Une fois le développement de l’EPRIS achevé, Europol présente au Parlement européen et au Conseil un rapport qui explique en détail la manière dont les objectifs, en particulier ceux ayant trait à la planification et aux coûts, ont été atteints, et qui justifie les éventuels écarts.

4.   Aux fins de la maintenance technique, l’eu-LISA a accès aux informations nécessaires concernant les opérations de traitement de données effectuées dans le routeur. Aux fins de la maintenance technique, Europol a accès aux informations nécessaires concernant les opérations de traitement de données effectuées dans l’EPRIS.

5.   Deux ans après la mise en service du routeur, puis tous les deux ans, l’eu-LISA présente au Parlement européen, au Conseil et à la Commission un rapport sur le fonctionnement technique du routeur, y compris sur sa sécurité.

6.   Deux ans après la mise en service de l’EPRIS, puis tous les deux ans, Europol présente au Parlement européen, au Conseil et à la Commission un rapport sur le fonctionnement technique de l’EPRIS, y compris sur sa sécurité.

7.   Trois ans après la mise en service du routeur et de l’EPRIS conformément à l’article 75, puis tous les quatre ans, la Commission élabore un rapport sur l’évaluation globale du cadre Prüm II.

Un an après la mise en service du routeur, puis tous les deux ans, la Commission élabore un rapport évaluant l’utilisation des images faciales au titre du présent règlement.

Les rapports visés au premier et deuxième alinéas comprennent:

La Commission transmet ces rapports au Parlement européen, au Conseil, au Contrôleur européen de la protection des données et à l’Agence des droits fondamentaux de l’Union européenne.

8.   Dans les rapports visés au premier alinéa du paragraphe 7, la Commission accorde une attention particulière aux nouvelles catégories de données suivantes: images faciales et fichiers de police. La Commission inclut dans ces rapports l’utilisation faite par chaque État membre et par Europol de ces nouvelles catégories de données, ainsi que leur incidence, leur efficacité et leur efficience. Dans les rapports visés au deuxième alinéa du paragraphe 7, la Commission accorde une attention particulière au risque de fausses concordances et à la qualité des données.

9.   Les États membres et Europol fournissent à l’eu-LISA et à la Commission les informations nécessaires à l’établissement des rapports visés aux paragraphes 2 et 5. Ces informations ne peuvent porter préjudice aux méthodes de travail ni révéler les sources, les membres du personnel ou les enquêtes des autorités compétentes des États membres.

10.   Les États membres fournissent à la Commission et à Europol les informations nécessaires à l’établissement des rapports visés aux paragraphes 3 et 6. Ces informations ne peuvent porter préjudice aux méthodes de travail ni révéler les sources, les membres du personnel ou les enquêtes des autorités compétentes des États membres.

11.   Sans préjudice des exigences de confidentialité, les États membres, l’eu-LISA et Europol fournissent à la Commission les informations nécessaires à la réalisation des rapports visés au paragraphe 7. Les États membres communiquent également à la Commission le nombre de concordances confirmées par rapport à la base de données de chaque État membre par catégorie et par type de données. Ces informations ne peuvent porter préjudice aux méthodes de travail ni révéler les sources, les membres du personnel ou les enquêtes des autorités compétentes des États membres.